内部CAのopenssl-「リクエストが署名と一致することを確認する」方法
私は このガイド に従って、内部使用のための認証局を作成しています。
私は「中間証明書の作成」の段階にあります。中間CAはルートCAによって署名される必要があります。
openssl ca -config openssl.cnf -extensions v3_intermediate_ca \
-days 3650 -notext -md sha256 \
-in intermediate/csr/intermediate.csr.pem \
-out intermediate/certs/intermediate.cert.pem
ここで、openssl.cnfは、ルートCA用に生成した証明書を指します。
[ CA_default ]
private_key = $dir/private/ca-root.private.encrypted.key
OpenSSLはインタラクティブにこれを私に投げます
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 4096 (0x1000)
Validity
Not Before: Oct 21 17:12:48 2016 GMT
Not After : Oct 31 17:12:48 2018 GMT
Subject:
[...snip...]
X509v3 extensions:
X509v3 Subject Key Identifier:
EC:D9:FD:DC:AA:B9:D3:93:83:14:D2:4D:84:C6:75:A2:20:90:A1:E6
X509v3 Authority Key Identifier:
keyid:EB:81:E3:6B:5D:32:DD:06:0A:D8:4F:B6:D0:5C:A2:BD:C9:CF:8E:79
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:0
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Certificate is to be certified until Oct 31 17:12:48 2018 GMT (740 days)
Sign the certificate? [y/n]:
ここで何を探していますか? Subject: セクション。それらの詳細を目で確認すること(それらは明らかに自分が1分で作成したものと一致しますとは別に)、証明書が有効であることを確認するために他に何をすべきですか?
CSRがサードパーティからのものである場合、何を確認する必要がありますか?
Check ... signature / Signature okは、the openssl programがCSR署名をチェックし、それが検証することを確認してから、他のことを行うことを伝えます。 署名を確認する必要はありません。これは実用的ではありません。 cathenデフォルトでは件名のみを表示します。またはname_optおよび/またはcert_optは、見たとおりに構成されており、-batch提案された証明書に署名(発行)するかどうかを尋ねられます。
自分で生成したCSRの場合は、おそらく自分を信頼している(あなたが Michael Garibaldi でない限り)ので、承認してください。 CSRがサードパーティからのものである場合、それをチェックアウトすることをお勧めしますbefore running ca CSR(または証明書)のコンテンツだけから行うのではなく、もう一度承認してください。ただし、まだ確認していない場合は、これが最後の機会です。
件名を確認し、必要に応じてSAN=パーティーを適切に識別します。または、単純な階層X.500の場合(CCITTが期待するほど一般的ではありません)、
policyを自動的に構成できますサブジェクトDNを発行者DNと照合するデフォルトではないCSRから拡張機能をコピーした場合は、このパーティに対して「認証」する機能が説明されていることを確認してください。設定ファイルの拡張子を使用した場合は、CSRをチェックした場合でも、そこに間違いがないことを再確認できます。
サブジェクトキーのアルゴリズムとサイズを確認して、環境やこのパーティのセキュリティと相互運用性の要件を満たしていることを確認してください