我在使用openssl创建一个包含用于测试的crl分发点的x509证书时遇到了问题。如何使用包含CRL分发点的openssl创建证书?
我检查了文档,发现配置设置crlDistributionPoints用于此目的。不幸的是,openssl总是生成x509版本1证书,而不是使用crl分发点的版本3证书。 我确定我的命令或配置有问题,但仔细阅读文档,并且无法使用配置。其他设置来自配置文件被认为是所以我确信文件本身被openssl使用。
我使用的命令
openssl x509 -req -in $NAME.csr -out certs/$NAME.pem -days 3650 -CAcreateserial -CA cacert.pem -CAkey private/cakey.pem -CAserial serial
我用下面的配置文件:
[ ca ]
default_ca = CA_default
[ CA_default ]
dir = /home/ca
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem
serial = $dir/serial
private_key = $dir/private/cakey.pem
RANDFILE = $dir/private/.rand
default_days = 3650
default_crl_days = 30
default_md = md5
policy = policy_any
email_in_dn = no
name_opt = ca_default
cert_opt = ca_default
copy_extensions = none
x509_extensions = extensions_section
[ extensions_section ]
crlDistributionPoints=URI:http://example.com/crl.pem
[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
任何想法?
是的,工作! 由于其唯一的测试系统安全性并不是这里的重点。但是,无论如何感谢关于MD5的信息。 – 2012-08-27 09:53:28