Я не могу создать CRL. Возможно, мне что-то не хватает в файле конфигурации. Я получаю сообщение об ошибке «Ошибка openssl при загрузке номера crl». Раздел конфигурации Crl:
[ CA_default ]
# Directory and file locations.
dir = box/ca
certs = $dir/certs
crl_dir = $dir/crl
new_certs_dir = $dir/newcerts
database = $dir/index.txt
serial = $dir/serial
RANDFILE = $dir/private/.rand
# For certificate revocation lists.
crlnumber = $dir/crlnumber
crl = $dir/crl/RcCA.crl
crl_extensions = crl_ext
default_crl_days = 30
Команда, которую я использую:
openssl ca -config full-path-to-openssl.cnf -gencrl -out full-path-to-RcCA.crl
Где rcCA - это файл crl.
Файловая структура:
корневой CA
частный
последовательный
Нижние три файла, вверху папки.
Ответы, которые я нашел, указывают на отсутствие индексного файла. Но он есть на моей машине. Не знаю, положил ли я его в нужное место.
@StacksOfZtuff помог. Но теперь я получаю разные ошибки. Я не знаю, считается ли это решенным, или я просто маскирую предыдущую ошибку.
22048: ошибка: 2207707B: подпрограммы X509 V3: V2I_AUTHORITY_KEYID: невозможно получить идентификатор ключа эмитента:. \ Crypto \ x509v3 \ v3_akey.c: 165:
22048: ошибка: 22098080: подпрограммы X509 V3: X509V3_EXT_nconf: ошибка в расширении:. \ Crypto \ x509v3 \ v3_conf.c: 95: name = AuthorityKeyIdentifier, value = keyid: always
Я хотел бы подчеркнуть, мой центр сертификации работает правильно, за исключением проблемы со списком отзыва сертификатов. Я могу сгенерировать ключ, csr, cer и pkcs12. Кажется, я могу добавлять записи в CRL, но когда я пытаюсь вызвать команду gencrl
, Я получаю ошибки. Я даже не уверен, имеет ли это значение
Дополнительный пост: Openssl generate CRL выдает ошибку: невозможно получить keyiid эмитента