Como faço para calcular manualmente o meu pedido de cadeia de certificados?

6

Digamos que eu comece com um certificado.

Usando o openssl, posso imprimi-lo assim:

openssl x509 -in cert.pem -text -noout

E receberei alguns resultados, como Validity , Issuer e Subject , juntamente com Authority Key Identifier e Subject Key Identifier .

Como uso esses campos para elaborar o próximo certificado da cadeia?

E assim que obtiver o próximo certificado, determine qual deve ser o próximo certificado, etc.

Basicamente, estou querendo descobrir toda a cadeia e colocar as coisas na ordem correta para o balanceador de carga do EC2. Desde soluções de rede não parecem apenas dar-lhe um pacote que funciona. Eles lhe dão certificações individuais e eu tentei e tentei muitas ordens diferentes para o EC2 e ainda não consegui que funcionasse. Minha última aposta é tentar o openssl e resolver isso manualmente em vez de adivinhar.

    
por Matt 21.11.2014 / 00:03

2 respostas

6

O X509v3 Authority Key Identifier na saída openssl da chave filha corresponderá à X509v3 Subject Key Identifier da chave de assinatura.

Por exemplo, para o certificado SSL deste site e seu certificado pai:

# openssl x509 -text -noout -in subject.pem
...
        Subject: C=US, ST=NY, L=New York, O=Stack Exchange, Inc., CN=*.stackexchange.com
...
            X509v3 Authority Key Identifier:
                keyid:51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
            X509v3 Subject Key Identifier:
                5A:C1:42:63:C2:62:13:B3:9D:94:84:AA:32:1E:17:CB:6D:A3:86:7B

# openssl x509 -text -noout -in parent.pem
...
        Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert SHA2 High Assurance Server CA
...
            X509v3 Subject Key Identifier:
                51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B
            X509v3 Authority Key Identifier:
                keyid:B1:3E:C3:69:03:F8:BF:47:01:D4:98:26:1A:08:02:EF:63:64:2B:C3

51:68:FF:90:AF:02:07:75:3C:CC:D9:65:64:62:A2:12:B8:59:72:3B é o que estabelece no certificado filho qual certificado o assinou, você deve ser capaz de usá-lo para localizar os certificados de autoridade corretos.

    
por 21.11.2014 / 00:27
0

É importante observar que os certificados intermediários não são específicos do seu domínio ou certificado. Assim, cada certificado emitido como o seu tem os mesmos certificados intermediários.

Você pode pensar neles um pouco como o número de roteamento em seus cheques. O número de roteamento é necessário, mas realmente diz mais sobre seu banco do que sobre você. Seu número de conta ou seu certificado, neste caso, é exclusivo de você.

Devido à natureza genérica dos certificados intermediários, existem sites como este:

link

Que possuem todos os certificados intermediários pré-agrupados (e na ordem correta) para diferentes emissores de certificados.

    
por 22.05.2017 / 22:09