Previous Entry Share Next Entry
2016-01

X.509

Астрологи обьявили день цифровых подписей.

Как с помощью openssl (ну или чего угодно, CNG, CryptoAPI, BouncyCastle, NSS, whatever) повесить на X.509 сертификат две подписи? (чтобы выразить факт доверия к intermediate CA1 со стороны root CA2 и root CA3, также известно как cross-signing)

This entry was originally posted at http://wizzard.dreamwidth.org/318776.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
lionet October 24th, 2013
Нет этого в X.509 (RFC3280). Сертификат может только одну подпись иметь.

nponeccop October 24th, 2013
Раздел 3.5 Management Protocols упоминает cross-certification - это оно?

lionet October 24th, 2013
Я так понимаю (чисто по протоколу смотря — я же ASN.1 эксперт, а не PKIX-эксперт), что для того, чтобы подписать серт два раза надо ДВА сертификата сгенерировать в итоге. Этот же механизм используется в кросс-сертификации: когда твой CA1 является 1) self-signed, и, одновременно, 2) есть другой сертификат CA1 с теми же данными, который является подписанным другим CA2.

arkanoid October 24th, 2013
угу, именно.

wizzard0 October 24th, 2013
Хм. Походу, я криво прочитал стандарт. Ладно...

wizzard0 October 24th, 2013
Т.е. задача - предполагая что один CA у нас fraudulent, потребовать чтоб сертификат удостоверили *оба*.

sassa_nf October 24th, 2013
В смысле? Мы верим чему? Паре имя+ключ. Кросс-сертификация не отличается от просто сертификации - за вычетом revocation, который при кросс-сертификации зависит от статуса оригинального сертификата.

wizzard0 October 24th, 2013
> Мы верим чему? Паре имя+ключ
и да и нет, половина вопроса ревокейшн, вторая половина - можно ли кросстрастить не только Root CA а и subCA/leaf certs.

sassa_nf October 24th, 2013
"кросстрастить" - а чё, в экстеншенах не пишется, чтО мы ему верим делать?

happynewbear October 24th, 2013
> Астрологи обьявили день цифровых подписей.

homm3? :)

wizzard0 October 24th, 2013
Угу.

_windwalker_ October 25th, 2013
Рандомные ивенты ещё в Master of Orion были ;)

  • 1
?

Log in

No account? Create an account