Создать промежуточный центр сертификации, который может выдавать сертификаты?

Я пытаюсь создать ЦС и Промежуточный ЦС для использования в целях подписи / шифрования Office 365 в Outlook. Я смог следовать куче руководств и с помощью OpenSSL создать CA и Intermediate CA, которые генерируют сертификаты. Я сталкиваюсь с двумя проблемами:

  1. Когда я создаю сертификат конечного пользователя x509 для конечного пользователя, он помечается как недействительный, поскольку промежуточный ЦС не имеет полномочий для выдачи сертификатов.
  2. Если я вместо этого сгенерирую сертификат конечного пользователя с корневым центром сертификации, я смогу подписывать и шифровать электронные письма, но через некоторое время он перестает работать.

Я думаю, что проблема 2 вызвана тем, что сертификаты конечного пользователя не подписаны промежуточным центром сертификации. В Exchange Online SMIMEExpiredCertificateThumbprint возвращает отпечаток промежуточного сертификата, а не корневой центр сертификации. Я все еще могу опубликовать сертификат GAL, созданный корневым центром сертификации, в GAL и отправить несколько быстрых электронных писем, но как только Outlook синхронизируется с GAL, он видит, что сертификат не создан из промежуточного сертификата и объявляет его несанкционированным.

Я думаю, что решение проблемы 1 решит проблему 2, но я не знаю, как установить разрешения для промежуточного ЦС для выдачи сертификатов. Любая помощь?

Вот как я сейчас генерирую корневой и промежуточный CA:

openssl genrsa -out ca.key 4096
openssl req -new -x509 -days 1826 -key ca.key -out ca.crt
openssl genrsa -out ia.key 4096
openssl req -new -key ia.key -out ia.csr
openssl x509 -req -days 730 -in ia.csr -CA ca.crt -CAkey ca.key -serial -out ia.crt

А вот как генерируются клиенты:

openssl genrsa -aes128 -out email.key 2048
openssl req -new -key email.key -out email.csr
openssl x509 -req -days 365 -in email.csr -CA ia.crt -CAkey ia.key -CAcreateserial -out email.crt
openssl pkcs12 -export -in email.crt -inkey email.key -out email.pfx
openssl x509 -in email.crt -serial -noout >> email.meta
openssl x509 -in email.crt -fingerprint -noout  >> email.meta

1 ответ

В общем, я не обязательно выяснил, как решить проблему с OpenSSL, но обнаружил, что GnuTLS запрашивает использование сертификата таким способом, с которым легко работать.

Я генерирую корневой CA следующим образом:

certtool --generate-privkey --bits 4096 --outfile ca.key
certtool --generate-self-signed --load-privkey ca.key --template ca.vars --outfile ca.crt

Где мой ca.vars выглядит так:

organization = [Company Name]
unit = [Org Unit]
locality = [City]
state = [State]
country = [Country Code]
challenge_password = [password]
password = [password]
expiration_days = 1825
serial = 1
ca
cert_signing_key
crl_signing_key
cn = '[Company Name] Root CA 000001'

ПРИМЕЧАНИЕ. Пароль указан в файле ca.vars, который небезопасен; но для моей реализации скрипт генерирует файл vars, а затем удаляет его с помощью инструмента удаления srm. Если вы не используете скрипты для генерации файлов vars, просто опустите строки пароля и challenge_password, и вам будет предложено.

Тогда промежуточные СА следующие:

certtool --generate-privkey --bits 4096 --outfile ia.key
certtool --generate-request --template ia.vars --load-privkey ia.key --outfile ia.csr
certtool --generate-certificate --template ia.vars --load-request ia.csr --load-ca-certificate ca.crt --load-ca-privkey ca.key  --outfile ia.crt

Разница между ca.vars и ia.vars заключается в том, что я установил срок действия 365 и добавил следующую строку:

path_len = 1

Оттуда я могу использовать вышеописанный сценарий с openssl и центрами сертификации ia_[sign/encrypt] для генерации сертификатов x509, которые я могу использовать в Outlook с Office 365 для подписи / шифрования электронной почты. Я вставлю это снова только для справки:

openssl genrsa -aes128 -out email.key 2048
openssl req -new -key email.key -out email.csr
openssl x509 -req -days 365 -in email.csr -CA ia.crt -CAkey ia.key -CAcreateserial -out email.crt
openssl pkcs12 -export -in email.crt -inkey email.key -out email.pfx
openssl x509 -in email.crt -serial -noout >> email.meta
openssl x509 -in email.crt -fingerprint -noout  >> email.meta

Надеюсь, что это помогает кому-то, кроме меня!:)

Другие вопросы по тегам