Есть задача создать следущую иеархию
есть корневой сертификат СА, нужны еще два CASub1 и CASub2, которые будут подписаны СА и которыми можно будет подписывать клиетские сертификаты. Как не пробовал их (CASub1 и CASub2) подписать, у них слетает поле CA:TRUE и подписанные имм клиентские сертификаты не валидны. Подскажите как сделать.
>есть корневой сертификат СА, нужны еще два CASub1 и CASub2, которые будут
>подписаны СА и которыми можно будет подписывать клиетские сертификаты. Как не
>пробовал их (CASub1 и CASub2) подписать, у них слетает поле CA:TRUEСоздаем CA.
Создаем запросы из CASub1 и CASub2.
Подписываем их в CA.
Подписываем selfsign в CASub1 и CASub2 соответственно.
А Вы как делаете?
Поправка.
На примере CA и CASub1Создаем Root CA.
[CA]$ openssl req -x509 -new -keyout private/cakey.pem -out cacert.pem
[CA]$ openssl x509 -in cacert.pem -noout -text
Issuer: C=..., CN=ca/...
Subject: C=..., CN=ca/...
X509v3 extensions:
X509v3 Subject Key Identifier:
46:73:83:89:B3:C3:01:15:0D:B6:DF:C4:80:31:91:DF:ED:06:6E:67
X509v3 Authority Key Identifier:
keyid:46:73:83:89:B3:C3:01:15:0D:B6:DF:C4:80:31:91:DF:ED:06:6E:67
X509v3 Basic Constraints:
CA:TRUEСоздаем CASub1.
[CASub1]$ openssl req -x509 -new -keyout private/cakey.pem -out cacert.pem
[CASub1]$ openssl x509 -in cacert.pem -noout -text
Issuer: C=..., CN=casub1/...
Subject: C=..., CN=casub1/...
X509v3 extensions:
X509v3 Subject Key Identifier:
4F:5D:3F:7A:24:62:97:2F:3E:CC:A4:04:D7:CD:C4:45:D2:6B:CD:54
X509v3 Authority Key Identifier:
keyid:4F:5D:3F:7A:24:62:97:2F:3E:CC:A4:04:D7:CD:C4:45:D2:6B:CD:54
X509v3 Basic Constraints:
CA:TRUEПодписываем CASub1 в CA.
[CASub1]$ openssl x509 -x509toreq -in cacert.pem -signkey private/cakey.pem -out requests/casub1req.pem
[CA]$ openssl ca -extensions v3_ca -policy policy_anything -out certs/casub1.pem -in ../CASub1/requests/casub1req.pem
[CASub1]$ openssl x509 -in casub1.pem -noout -text
Issuer: C=..., CN=ca/...
Subject: C=..., CN=casub1/...
X509v3 extensions:
X509v3 Subject Key Identifier:
4F:5D:3F:7A:24:62:97:2F:3E:CC:A4:04:D7:CD:C4:45:D2:6B:CD:54
X509v3 Authority Key Identifier:
keyid:46:73:83:89:B3:C3:01:15:0D:B6:DF:C4:80:31:91:DF:ED:06:6E:67
X509v3 Basic Constraints:
CA:TRUE
спасибо помогло. делал почти также.
запутался около "openssl ca -extensions v3_ca -policy policy_anything -out certs/casub1.pem -in ../CASub1/requests/casub1req.pem". немного по другому пытался подписать.
Подскажите где ошибка?#Формирование закрытого ключа и самоподписного сертификата для RootCA
openssl genrsa -des3 -out root_ca.key 4096 #Создание ключа корневого сертификата
openssl req -new -key root_ca.key –out root_ca.csr #Создание запроса на подпись
openssl x509 -req -days 3650 -in root_ca.csr -signkey root_ca.key -out root_ca crt #Создание самоподписного сертификата на 10 лет#Формирование ключа для CA
openssl genrsa -des3 -out ca.key 4096 #Генерация закрытого ключа CA
openssl req -new -key root_ca.key -out ca.csr # Создание запроса на подпись открытого ключа и сертификата закрытым ключом root_ca.key
openssl x509 -req -days 1825 -in ca.csr -key root_ca.key -out ca.crt #Генерация открытого ключа и его подпись с помощью закрытого ключа root_ca.key#Формирование ключа для клиентов
openssl genrsa -des3 -out client.key 4096 #Генерация закрытого ключа клиента
openssl req -new -key ca.key -out client.csr #Создание запроса на подпись открытого ключа и сертификата закрытым ключом
openssl x509 -req -days 548 -in pos.csr -key ca.key -out client.crt #создание открытого ключа и сертификата для клиентов на основе закрытого ключа CA сроком на 1,5 года
>[оверквотинг удален]
> открытого ключа и сертификата закрытым ключом root_ca.key
> openssl x509 -req -days 1825 -in ca.csr -key root_ca.key -out ca.crt #Генерация
> открытого ключа и его подпись с помощью закрытого ключа root_ca.key
> #Формирование ключа для клиентов
> openssl genrsa -des3 -out client.key 4096 #Генерация закрытого ключа клиента
> openssl req -new -key ca.key -out client.csr #Создание запроса на подпись открытого
> ключа и сертификата закрытым ключом
> openssl x509 -req -days 548 -in pos.csr -key ca.key -out client.crt #создание
> открытого ключа и сертификата для клиентов на основе закрытого ключа CA
> сроком на 1,5 годаВсе сертификаты оказываются самоподписными и без связи с верхним уровнем СА