Portál AbcLinuxu, 18. prosinec 2017 00:36

Dotaz: Revocantion list certifikačnej autority

25.3. 21:05 rastos | skóre: 60 | blog: rastos
Revocantion list certifikačnej autority
Přečteno: 997×
Odpovědět | Admin
Urobil som si takú malú pokusnú certifikačnú autoritu, vyrobil certifikát pre užívateľa, podpísal s ním .jar a urobil naň .jnlp súbor. Celé to ale nezafunguje pretože jave sa niečo nepáči. Buď certifikát pre podpis, alebo pre samotnú CA. Pri pokuse o spustenie dostanem okno, v ktorom sa píše:
Unable to ensure the certificate used to identify this application has not been revoked.
V detailoch sa potom píše:
The publisher name is verified by a trusted certificate authority.
The digital signature for this application was generated with a certificate from trusted certificate authority, but we are unable to ensure that it was not revoked by that authority.
No skrátka vyzerá to, že niekde chýba certificate relocation list - CRL. Viem vyrobiť CRL súbor. A domnievam sa, že ho treba niekde vystaviť na nejakej URL. Ale tiež asi treba tú url nejako dostať do certifikátu CA a/alebo certifikátu použitého pre podpis. A s tým potrebujem poradiť. Ako na to?

Řešení dotazu:


Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Řešení 1× (rastos (tazatel))
26.3. 17:41 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Revocantion list certifikačnej autority
Odpovědět | | Sbalit | Link | Blokovat | Admin
Cestu k CRL nejspíš nakonfigurujete někde v konfiguraci certifikační autority. Při podpisu certifikátu se pak přidá do rozšíření do položky „CRL Distribution Points“ (2.5.29.31).
26.3. 21:57 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Revocantion list certifikačnej autority
Správne. Do /etc/ssl/openssl.conf do sekcie
[ usr_cert ]
som pridal
crlDistributionPoints=URI:http://...
čo spôsobí pridanie extension 2.5.29.31 do certifikátu, ktorý CA podpisuje. A zafungovalo ;-) Trocha ma zaskočilo, že to v tom konfiguráku nie je ukázané v komentároch. Ale je to dokumentované v x509v3_config
Ďakujem.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.