Portál AbcLinuxu, 13. května 2024 02:42

Dotaz: Revocantion list certifikačnej autority

25.3.2017 21:05 rastos | skóre: 62 | blog: rastos
Revocantion list certifikačnej autority

Přečteno: 1425×

Odpovědět | Admin

Urobil som si takú malú pokusnú certifikačnú autoritu, vyrobil certifikát pre užívateľa, podpísal s ním .jar a urobil naň .jnlp súbor. Celé to ale nezafunguje pretože jave sa niečo nepáči. Buď certifikát pre podpis, alebo pre samotnú CA. Pri pokuse o spustenie dostanem okno, v ktorom sa píše:

Unable to ensure the certificate used to identify this application has not been revoked.

V detailoch sa potom píše:

The publisher name is verified by a trusted certificate authority.

The digital signature for this application was generated with a certificate from trusted certificate authority, but we are unable to ensure that it was not revoked by that authority.

No skrátka vyzerá to, že niekde chýba certificate relocation list - CRL. Viem vyrobiť CRL súbor. A domnievam sa, že ho treba niekde vystaviť na nejakej URL. Ale tiež asi treba tú url nejako dostať do certifikátu CA a/alebo certifikátu použitého pre podpis. A s tým potrebujem poradiť. Ako na to?

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

26.3.2017 17:41 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Revocantion list certifikačnej autority

Cestu k CRL nejspíš nakonfigurujete někde v konfiguraci certifikační autority. Při podpisu certifikátu se pak přidá do rozšíření do položky „CRL Distribution Points“ (2.5.29.31).

26.3.2017 21:57 rastos | skóre: 62 | blog: rastos
Rozbalit Rozbalit vše Re: Revocantion list certifikačnej autority

Správne. Do /etc/ssl/openssl.conf do sekcie

[ usr_cert ]

som pridal

crlDistributionPoints=URI:http://...

čo spôsobí pridanie extension 2.5.29.31 do certifikátu, ktorý CA podpisuje. A zafungovalo ;-)

Trocha ma zaskočilo, že to v tom konfiguráku nie je ukázané v komentároch. Ale je to dokumentované v x509v3_config
Ďakujem.

Založit nové vlákno • Nahoru

Tiskni Sdílej: