Неправильний ідентифікатор ключа авторитету на кінці cers openssl


3

Я отримую цікаві результати, коли підписую сертифікат кінцевого сервера за допомогою проміжного ЦС за допомогою openssl.

У мене є Root CA, який виглядає приблизно так:

Serial Number: 14296918985177649921 (0xc668dc11960d5301)
Issuer: C=US, ST=xROOTx, L=xROOTx, O=xROOTx, CN=xROOTx
Subject: C=US, ST=xROOTx, L=xROOTx, O=xROOTx, CN=xROOTx
X509v3 Subject Key Identifier:
  1A:E5:27:E9:EF:2F:90:A7:13:91:1A:12:A9:3A:1D:AE:BA:1E:B8:35

Котрий підписав проміжний офіційний центр, який виглядає приблизно так:

Serial Number: 0 (0x0)
Issuer: C=US, ST=xROOTx, L=xROOTx, O=xROOTx, CN=xROOTx
Subject: C=US, ST=xINTERx, O=xINTERx, CN=xINTERx
X509v3 Authority Key Identifier:
  keyid:1A:E5:27:E9:EF:2F:90:A7:13:91:1A:12:A9:3A:1D:AE:BA:1E:B8:35
  DirName:/C=US/ST=xROOTx/L=xROOTx/O=xROOTx/CN=xROOTx
  serial:C6:68:DC:11:96:0D:53:01
X509v3 Subject Key Identifier:
  16:BF:D6:2F:0D:58:A5:C3:84:95:4B:F6:FE:27:3E:0B:79:0C:6F:04

І коли я підписую серт кінцевого сервера, я отримую це:

Serial Number: 1 (0x1)
Issuer: C=US, ST=xINTERx, O=xINTERx, CN=xINTERx
Subject: C=US, ST=xENDx, O=xENDx, CN=xENDx
X509v3 Authority Key Identifier:
  keyid:16:BF:D6:2F:0D:58:A5:C3:84:95:4B:F6:FE:27:3E:0B:79:0C:6F:04
  DirName:/C=US/ST=xROOTx/L=xROOTx/O=xROOTx/CN=xROOTx
  serial:00
X509v3 Subject Key Identifier:
  3B:86:64:4B:80:EE:BF:92:0D:A9:D6:FD:8C:FD:DD:FF:55:55:C6:11

Це показує правильний KeyId та Serial від проміжного CA, але неправильний DirName, який чомусь є DN Root CA.

Відповіді:


2

Це нормальна поведінка.

DirName в ідентифікаторі ключа ключа - це власне ім'я суб'єкта емітента. Просто включення Суб'єкта Емітента буде дублювати DN-емітента, вже наявне в сертифікаті.

Це поширене питання, на яке також відповідають відповіді на FAQ FAQ


Специфікація насправді не дає цього зрозуміти. Перше речення є досить однозначним, але, як видається, друге речення вказує на те, що воно повинно бути ім'ям емітента та порядковим номером посвідчення підпису. Половина - це дублююча інформація, але серійний номер не дублюється і потрібен для вибору потрібного ключа, якщо для даного емітента існує багато. (RFC2459, Розділ 4.2.1.1) "Ідентифікація може базуватися або на ідентифікаторі ключа (ідентифікаторі предмета ключа в сертифікаті емітента), або на імені та емісійному номері емітента."
Геккл
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.