https://m.opennet.dev/openforum/vsluhforumID10/5155.html В общем поднял CA на одной машине. Для этой цели использую CentOS 6.4 и Openssl, но проблема в том что после месяца сертификаты становятся не валидными и не понимаю где косяк. <br><br># openssl verify -CAfile ca.crt server1.crt<br>........................................<br>error 10 at 1 depth lookup:certificate has expired<br>OK<br><br>Конфиг CA:<br>[ ca ]<br>default_ca = CA_default # The default ca section<br><br>[ CA_default ]<br><br>dir = . # Where everything is kept<br>certs = $dir/certs # Where the issued certs are kept<br>crl_dir = $dir/crl # Where the issued crl are kept<br>database = $dir/index.txt # database index file.<br>unique_subject = no # Set to 'no' to allow creation of<br> # several ctificates with same subject.<br>new_certs_dir = $dir/newcerts # default place for new certs.<br><br>certificate = $dir/ca.crt # The CA certificate<br>serial = $dir/seria https://m.opennet.dev/openforum/vsluhforumID10/5155.html#5 Mon, 20 May 2013 17:50:24 GMT так ради интереса можно и в виртуалке всё это проделать, а потом в ней дату поменять...<br> https://m.opennet.dev/openforum/vsluhforumID10/5155.html#4 Mon, 20 May 2013 11:06:33 GMT &gt; а очень даже может быть, так сходу поискал, генерят вот типа так: <br>&gt; openssl req -new -x509 -extensions v3_ca -keyout private/rootCA.key -out rootCA.crt -days <br>&gt; 3650 -config ./openssl.cnf <br>&gt; так что указывают при создании самоподписанного корневого сертификата -days <br><br>сделал так, уже подожду месяц и скажу результат<br><br><br> https://m.opennet.dev/openforum/vsluhforumID10/5155.html#3 Fri, 17 May 2013 20:54:20 GMT а очень даже может быть, так сходу поискал, генерят вот типа так:<br>openssl req -new -x509 -extensions v3_ca -keyout private/rootCA.key -out rootCA.crt -days 3650 -config ./openssl.cnf<br><br>так что указывают при создании самоподписанного корневого сертификата -days<br> https://m.opennet.dev/openforum/vsluhforumID10/5155.html#2 Fri, 17 May 2013 13:42:30 GMT &gt; укажи в команде openssl req опцию -days 3650, то есть: <br>&gt; openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out <br>&gt; server1.csr -days 3650 <br>&gt; а то в конфиге как раз и стоит default_crl_days= 30 (то бишь <br>&gt; месяц) <br><br>Так... скажу что я сделал и что прлучилось<br>1. сделал revoke сертификата server1.crt<br>2. удалил server1.*<br>3. openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr -days 3650<br>4. openssl ca -config ./openssl.cnf -out server1.crt -days 3650 -infiles server1.csr<br><br>и вот 4то я получаю:<br>openssl verify -CAfile ca.crt mail.hm.is.crt<br>............................................<br>error 10 at 1 depth lookup:certificate has expired<br>OK<br><br>то есть без изменении.<br><br>межет у меня ca сертификат постарел ?<br><br>я его создал так:<br><br>openssl req -config ./openssl.cnf -new -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt<br> https://m.opennet.dev/openforum/vsluhforumID10/5155.html#1 Thu, 16 May 2013 17:37:38 GMT укажи в команде openssl req опцию -days 3650, то есть:<br><br>openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr -days 3650<br><br>а то в конфиге как раз и стоит default_crl_days= 30 (то бишь месяц)<br>