Вопросы Теги

Как я разрабатываю свой порядок цепочки сертификата вручную?

Позволяет говорят, что я запускаю с сертификата.

Используя openssl я могу распечатать его как это:

openssl x509 -in cert.pem -text -noout

И я получу некоторый вывод такой как Validity, Issuer и Subject наряду с Authority Key Identifier и Subject Key Identifier.

Как я использую эти поля для разработки следующего сертификата в цепочке?

И затем после того как я получаю следующий сертификат, разрабатываю то, чем тот следующий сертификат должен быть и т.д.

В основном я желаю разработать полную цепочку и получить вещи в правильном порядке для подсистемы балансировки нагрузки EC2. Так как Сетевые решения, кажется, просто не дают Вам пакет, который работает. Они дают Вам отдельные сертификаты, и я попробовал и попробовал много различных упорядочиваний для EC2 и все еще не заставил его работать. Моя последняя ставка должна попробовать openssl и разработать это вручную вместо предположения.

6
задан 23 November 2014 в 17:26
2 ответа

Идентификатор ключа авторизации X509v3 в выходных данных openssl для дочернего ключа будет соответствовать Идентификатор ключа субъекта X509v3 для ключ подписи.

Например, для сертификата SSL этого сайта и его родительского сертификата: 

# openssl x509 -text -noout -in subject.pem
...
        Subject: C=US, ST=NY, L=New York, O=Stack Exchange, Inc., CN=*.stackexchange.com
...
            X509v3 Authority Key Identifier:
                keyid:51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
            X509v3 Subject Key Identifier:
                5A:C1:42:63:C2:62:13:B3:9D:94:84:AA:32:1E:17:CB:6D:A3:86:7B

# openssl x509 -text -noout -in parent.pem
...
        Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert SHA2 High Assurance Server CA
...
            X509v3 Subject Key Identifier:
                51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
            X509v3 Authority Key Identifier:
                keyid:B1:3E:C3:69:03:F8:BF:47:01:D4:98:26:1A:08:02:EF:63:64:2B:C3

51: 68: FF: 90: AF: 02: 07: 75: 3C: CC: D9: 65: 64: 62: A2: 12: B8: 59: 72: 3B - это то, что устанавливает на дочернем сертификате, какой сертификат подписал его, вы должны иметь возможность использовать это для поиска правильных сертификатов центров сертификации.

7
ответ дан 3 December 2019 в 00:25

Важно отметить, что промежуточные сертификаты не относятся к вашему домену или сертификату. Таким образом, каждый выданный сертификат, похожий на ваш, имеет точно такие же промежуточные сертификаты.

Вы можете думать о них как о маршрутном номере на ваших чеках. Маршрутный номер необходим, но он больше говорит о вашем банке, чем о вас. Номер вашей учетной записи или в данном случае ваш сертификат - это то, что является уникальным для вас.

Из-за общего характера промежуточных сертификатов существуют такие веб-сайты, как этот:

https://www.ssl2buy.com/ wiki / ssl-intermediate-and-root-ca-bundle

, в котором все промежуточные сертификаты предварительно объединены (и в правильном порядке) для разных издателей сертификатов.

0
ответ дан 3 December 2019 в 00:25

Теги

Похожие вопросы