如何crlDistributionPoints在签署我生成的 CSR 时附加参数,如下所示:
openssl req -new -key /root/ca/private/private.key -out /root/public.csr
我通常用以下方式签名:
openssl ca -extensions v3_ca -days 730 -out /root/ca/certs/public.cer -in /root/public.csr
当我尝试使用-extfile已填充crlDistributionPoints参数的文件分配文件时,显然签名失败。根据手册页openssl ca,这是因为-extensions指-extfile的是配置文件(在这种情况下v3_ca)。这个对吗?
如果是这样,我如何构建一个包含crlDistributionPoints用于使用的配置ca?
我想我不太了解配置的模块化设计,并且担心使用ca不会像我自己写的那样工作openssl.cfg?
我已经查看了 的内容/etc/pki/tls/openssl.cnf,以下内容应该可以生成可-extfile用于前面提到的命令 ( openssl ca -extensions v3_ca -extfile /root/ca/opensslx509.conf -days 730 -out /root/ca/certs/public.cer -in /root/public.csr) 的内容。
echo "[ v3_ca ]" > /root/ca/opensslx509.conf
echo "subjectKeyIdentifier=hash >> /root/ca/opensslx509.conf
echo "authorityKeyIdentifier=keyid:always,issuer >> /root/ca/opensslx509.conf
echo "basicConstraints = CA:true >> /root/ca/opensslx509.conf
echo "crlDistributionPoints=URI:http://CRLSERVER/CRL.pem" >> /root/ca/opensslx509.conf
在这一点上,我还没有对此进行测试。