Hallo,
ich teste hier schon seit einigen Tagen mit openSSL auf Windows herum.
Ich hab mittlerweile das Gefühl das die derzeitige openSSL für Windows für´n A.... ist.
Oder ich bin einfach nur zu blöd das richtig zu konfigurieren.
Meine derzeitige openSSL.cfg sieht so aus:
Diese CFG basiert auf der Original Windows CFG, die Kommentarzeichen wurden entfernt.
Ich brauche ein openSSL generiertes Zertifikat mit CRL.
Aber egal was ich auch mache, openSSL ignoriert alle diesbzgl. Einstellungen.
openSSL ignoriert auch die meisten 'Order' Einstellungen, selbst wenn man die so wie ich fest vorgibt.
Ich brauche, wenn ich das richtig verstanden habe, eigentlich nur den Eintrag
crlDistributionPoints=URI:http://10.120.33.24/root3.crl (hier sind alle verfügbaren unkommentiert, für Testzwecke) aber kein Zertifikat enthält eine Revokation URL.
Was zum Teufel geht hier falsch, oder wie kann ich openSSL zwingen eine Revokation URL zu einem Zertifikat hinzu zu fügen?
gruss,
delta544
ich teste hier schon seit einigen Tagen mit openSSL auf Windows herum.
Ich hab mittlerweile das Gefühl das die derzeitige openSSL für Windows für´n A.... ist.
Oder ich bin einfach nur zu blöd das richtig zu konfigurieren.
Meine derzeitige openSSL.cfg sieht so aus:
Code:
HOME = .
RANDFILE = $ENV::HOME/.rnd
oid_section = new_oids
[ new_oids ]
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7
[ ca ]
[ CA_default ]
email_in_dn = no
name_opt = ca_default
cert_opt = ca_default
policy = policy_match
[ policy_match ]
countryName = supplied
stateOrProvinceName = supplied
organizationName = supplied
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ req ]
default_bits = 2048
default_keyfile = C:\\OpenSSL-Win64\\bin\\PEM\\demoCA\\cakey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
string_mask = utf8only
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Niedersachsen
localityName = Locality Name (eg, city)
localityName_default = Testhausen
0.organizationName = Organization Name (eg, company)
0.organizationName_default = DieFirma
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20
unstructuredName = An optional company name
[ usr_cert ]
basicConstraints=CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
nsComment = "OpenSSL Generated Certificate with CRL"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
extendedKeyUsage = serverAuth
subjectAltName=@alt_names
[ alt_names ]
DNS.0 = iR-ADV8285.dev.lab.dieFirma.global
DNS.1 = iR-ADV8285
IP.2 = 10.129.66.167
[ extensions_section ]
nsCaRevocationUrl = http://www.domain.dom/ca-crl.pem
nsBaseUrl =test
nsRevocationUrl = URI:http://10.120.55.24/root1.crl
crlDistributionPoints = URI:http://10.120.44.24/root2.crl
crlDistributionPoints=URI:http://10.120.33.24/root3.crl
nsRenewalUrl=tedt
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
[ crl_ext ]
authorityKeyIdentifier=keyid:always
[ proxy_cert_ext ]
basicConstraints=CA:FALSE
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
nsCaRevocationUrl = URI:http://10.120.55.24/root.crl
crlDistributionPoints=URI:http://10.120.44.24/root.crl
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo
[ tsa ]
[ tsa_config1 ]
Diese CFG basiert auf der Original Windows CFG, die Kommentarzeichen wurden entfernt.
Ich brauche ein openSSL generiertes Zertifikat mit CRL.
Aber egal was ich auch mache, openSSL ignoriert alle diesbzgl. Einstellungen.
openSSL ignoriert auch die meisten 'Order' Einstellungen, selbst wenn man die so wie ich fest vorgibt.
Ich brauche, wenn ich das richtig verstanden habe, eigentlich nur den Eintrag
crlDistributionPoints=URI:http://10.120.33.24/root3.crl (hier sind alle verfügbaren unkommentiert, für Testzwecke) aber kein Zertifikat enthält eine Revokation URL.
Was zum Teufel geht hier falsch, oder wie kann ich openSSL zwingen eine Revokation URL zu einem Zertifikat hinzu zu fügen?
gruss,
delta544