Impossible d'obtenir locales certificat de l'émetteur, tandis que la chaîne de transformation de

J'ai la clé privée(my_ca.la clé) et la clé publique(my_cert.crt) qui est signé par DigiCert. Maintenant, je veux créer RA(Autorité d'Enregistrement) et la signer par ma clé privée . Voici la façon dont j'ai essayé de le faire. Mais quand j'essaie de l'exportation de clés publique et privée en tant que fichier pkcs12, j'ai été faire d'erreur comme ceci impossible d'obtenir locales certificat de l'émetteur à l'obtention de la chaîne d'. Aucune idée de comment résoudre ce problème. Ici my_cert.crt est étendu à partir d' DigiCert Élevé d'Assurance de la CA-3 et que l'étendue de DigiCert Assurance Élevée EV autorité de certification Racine

 SSL_SUBJ="/C=LK/ST=Colombo/L=Colombo/O=Nope/OU=mobile/CN=My root"

 openssl genrsa -out ra.key 4096
 openssl req -new -key ra.key -out ra.csr -subj "$SSL_SUBJ"
 openssl x509 -req -days 365 -in ra.csr -CA my_cert.pem -CAkey my_ca.pem -  set_serial 76964474 -out ra.crt 
 openssl rsa -in ra.key -text > ra_private.pem
 openssl x509 -in ra.crt -out ra_cert.pem


 openssl pkcs12 -export -out ca.p12 -inkey my_ca.pem -in my_cert.pem -name "cacert" -passout pass:password
 openssl pkcs12 -export -out ra.p12 -inkey ra_private.pem -in ra_cert.pem -  chain -CAfile my_cert.pem -name "racert" -passout pass:password

InformationsquelleAutor GPrathap | 2015-03-05

6

Vous ne pouvez généralement pas utiliser un certificat émis par une autorité de certification publique à signer n'importe quoi, mais le client ou le serveur de la circulation; vous ne serez pas en mesure de l'utiliser pour votre AR.

Le message d'erreur indique qu'il y a un problème avec les certificats intermédiaires. Assurez-vous que vous l'ajouter à la fois de Digicert de certificats à l'my_cert.pem fichier avant de l'exporter vers pkcs12
- Tu veux dire chat DigiCert.crt my_cert.crt > my_cert.crt et que sans la chaîne de mot-clé, Il fonctionne, Mais sans la chaîne de drapeau est-ce exact ?
- Eh bien, si vous essayez cette commande cat, vous allez détruire votre my_cert.crt fichier. Ce que je ferais: chat par DigiCert.crt my_cert.crt > my_cert_to_export.crt. Correcte sur la chaîne de drapeau. Vous n'avez qu'avec votre ra certificat de toute façon; voir ma réponse à certaines des préoccupations supplémentaires à ce sujet.
- Ok merci à vous. En fait, j'ai été en développement SCEP(en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol) protocole pour mac os x. Donc, dans ce cas, je dois apporter CA et AR ,Donc, Si je créer une auto-signé CA et que RA serait-ce la bonne façon de résoudre ce problème ?
- Oui. Un certificat d'autorité de certification doivent être signalés comme tels (voir tools.ietf.org/html/rfc5280#section-4.2.1.9 ) et si vous le placez dans votre entreprise, une autorité de certification commerciale est toujours supprimer le drapeau avant de signer votre RSE. Une auto-signé le certificat d'autorité de certification est standard; il est appelé un certificat racine. Bien sûr, vous aurez besoin de l'ajouter à la confiance des magasins de ce que le client aura accès à des sites protégés par elle (c'est à dire, vous devez l'ajouter au navigateur Web si vous utilisez les certificats signés par votre autorité de certification pour les sites Web).
- je vous remercie de souligner que
InformationsquelleAutor Kevin Keane

Vous devez vous connecter pour publier un commentaire.