私は、ローカルで使用する自己署名証明書を作成することに慣れています。
openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
openssl pkcs12 -inkey key.pem -in certificate.pem -export -out certificate.p12
今日は、長い会議の終わりにルートCAなしでCLR配布ポイントの標準自己署名証明書を生成するように求められました。私は常にCAベースのCRL DPを使用して証明書を作成します。 CAなしで自己署名証明書を生成した後、CRLをどのように生成しますか?可能ですか?
ベストアンサー1
extfile次のファイルを指定する証明書に署名するときにこのオプションを使用します。
crlDistributionPoints=URI:http://example.com/crl.pem
これを行うには、opensslを使用して証明書を直接生成するのではなく、csr(-newオプションを使用openssl req)とキーを生成し、次の例に従って証明書を生成します(必要に応じて一意のファイル名とパラメータを使用)。
openssl x509 -req -in cert.csr -out cert.pem -signkey key.pem -extfile crlfile.ext
以下で最終結果を確認できます。
openssl x509 -in cert.pem -noout -text
ちなみに、これはセキュリティの向上には適していません。これらのCRLは、証明書と同じキーで署名する必要があります。キーが破損している場合は、破損した同じキーを使用して新しいクリーンなCRLを生成し、有効と見なすことができます。
opensslを使用してCRLを生成するには、以下の説明に従ってCA機能を使用する必要があります。ここ。違いは、CAキーが証明書キーになるのに対して、失効した証明書は証明書自体になるということです。ご覧のとおり、CDPと「有効な」crl(実際に署名した証明書をキャンセルして自己無効化)を使用して自己署名証明書を生成しても、この方法では機能しません。