Использование инструмента PKI от strongswan для настройки CA. При попытке настроить OCSP возникло множество проблем, как и в другой опубликованной мной ветке ( Strongswan PKI - ED25519 Certifcates - OCSP Responder, имеющий проблемы ). Сейчас смотрю, как добавить скобки.
Есть ли способ создания сертификатов с помощью strongswan pki, которые используют расширение MustStaple или, как последний openssl ссылается на него, status_request?
Кажется, я не могу найти ни документации, ни информации о нем. Не могу даже узнать, как добавить расширения к сертификату с помощью strongswan pki.
Расширение X.509, на которое вы ссылаетесь, на самом деле называется «расширением функции TLS» и определено в RFC 7633 . Если он определен, он содержит список идентификаторов расширений TLS , одним из которых может быть status_request
. Так что это довольно специфично для TLS.
Аналогичным образом, сшивание OCSP является функцией TLS (через его расширение запроса статуса сертификата, как определено в RFC 6066 ), поэтому оно не применимо напрямую к IKEv2.
Однако , существует аналогичная функция, определенная в RFC 4806 , которая позволяет обмениваться ответами OCSP во время аутентификации IKEv2. Однако strongSwan в настоящее время не поддерживает его .
По этим причинам расширение в настоящее время не имеет отношения к strongSwan, поэтому инструмент pki не поддерживает его. .