저는 다음을 통해 로컬에서 사용할 자체 서명된 인증서를 만드는 데 익숙합니다.
openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
openssl pkcs12 -inkey key.pem -in certificate.pem -export -out certificate.p12
오늘은 오랜 회의 끝에 루트 CA 없이 CLR 배포 지점에 대한 표준 자체 서명 인증서를 생성해 달라는 요청을 받았습니다. 저는 항상 CA 기반 CRL DP를 사용하여 인증서를 만듭니다. CA 없이 자체 서명된 인증서를 생성한 후 CRL을 어떻게 생성합니까? 가능합니까?
답변1
extfile다음을 포함하는 파일을 지정하는 인증서에 서명할 때 이 옵션을 사용하십시오 .
crlDistributionPoints=URI:http://example.com/crl.pem
이렇게 하려면 openssl을 사용하여 인증서를 직접 생성하는 대신 csr( -new옵션 사용 openssl req)과 키를 생성한 후 다음 예에 따라 인증서를 생성합니다(필요한 경우 고유한 파일 이름 및 매개변수 사용).
openssl x509 -req -in cert.csr -out cert.pem -signkey key.pem -extfile crlfile.ext
다음을 통해 최종 결과를 확인할 수 있습니다.
openssl x509 -in cert.pem -noout -text
참고로 이는 보안 향상에 적합하지 않습니다. 이러한 CRL은 인증서와 동일한 키로 서명되어야 키가 손상된 경우 손상된 동일한 키를 사용하여 새롭고 깨끗한 CRL을 생성하고 유효한 것으로 간주할 수 있습니다.
openssl을 사용하여 CRL을 생성하려면 아래 설명된 대로 CA 기능을 사용해야 합니다.여기. 차이점은 CA 키가 인증서 키가 되는 반면, 해지된 인증서는 인증서 자체가 된다는 것입니다. 보시다시피, CDP 및 "유효한" crl(실제로 서명한 인증서를 취소하여 자체 무효화)을 사용하여 자체 서명된 인증서가 생성되더라도 이 방법으로는 작동하지 않습니다.