Как использовать наборы CRL Chrome (или некоторый основной список CRL) как файл CRL?
Я ищу основной список CRL. Самой близкой вещью, которую я нашел, является CRLSets проекта Хрома. Я использовал crlset-инструменты для получения crlset (crlset fetch > crl-set) и затем выведенный порядковые номера (crlset dump crl-set) таким образом, я вижу что-то вроде этого:
f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
03fb3b4d35074e
03fbf94a0e6c39
04097214d6c97c
0442c6b3face55
....
Я хочу смочь передать openssl или завихрению (который использует openssl), файл CRL, содержащий основной список всех плохих сериалов. Например, вместо того, чтобы просто передать в crl verisign, я хочу все, передал в. Я думал, что мог сделать это с crlset, но я не думаю, что формат совместим. Я попробовал openssl crl -inform DER -text -in crl-set но это говорит:
unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL
Если у кого-либо есть какие-либо идеи о том, как сделать то, что я говорю об или любой творческий способ сделать, это сообщило мне.Спасибо
Это может быть невозможно, по крайней мере, в той форме, в которой вы хотите.
Учтите, что в наборах CRL Chrome есть (возможно) несколько отозванных сертификатов из нескольких CAs. Один файл CRL, содержащий сертификат от нескольких центров сертификации, известен как «косвенный CRL». Косвенные CRL плохо поддерживаются; см. здесь и здесь ; OpenSSL может быть не в состоянии сделать это.
Кроме того, как упоминает @bentek, похоже, что формат CRLsets несовместим. В частности, формат CRLsets не содержит всех необходимых полей CRL; см. RFC 5280, раздел 5.1 . Наборы CRL содержат (согласно документации) хэш SHA-256 информации об открытом ключе субъекта для выдающих сертификатов и серийные номера сертификатов для отозванных сертификатов из этого выдающего сертификата. Недостаточно информации для восстановления прямого CRL ( т.е. один файл CRL на CA), к сожалению, если бы мы захотели. ИМХО, самый большой недостаток / упущение - это имя (DN) эмитента отозванного сертификата. Наборы CRL дают нам «отпечаток пальца» (хэш SHA-256 SPKI), но сопоставить этот отпечаток с DN соответствующего сертификата, учитывая возможности Интернета, было бы непростой задачей.