作者:377926138_b741aa | 来源:互联网 | 2022-12-08 20:16
我创建了一个根,一个中间证书。然后我签署了扩展证书,但没有。
我在浏览器和计算机的密钥库中添加了根证书和中间证书。
我看到“安全”一词,但我想在绿色栏中看到我的名字。
使用OpenSSL生成一个扩展证书的政策是什么?
certificatePolicies=ia5org,1.2.3.4,1.5.6.7.8,@polsect
[polsect]
policyIdentifier = 1.3.5.8
CPS.1="https://jitc.rahmican.com.tr";
userNotice.1=@notice
[notice]
explicitText="Explicit Text Here"
organization="rahmican ltd sti"
noticeNumbers=1,2,3,4
我在openssl conf文件中使用了以下内容,但没有使用。
你能帮我吗?
1> Alexandre Fe..:
首先,您必须遵守《CA Browser EV准则》:
您的证书需要符合DV(域验证)规则,因此我们知道这是可以的,因为即使未显示EV绿色栏,您的浏览器也会显示“安全”
您需要添加以下EV扩展名:2.23.140.1.1
您需要添加扩展名为2.16.840.1.114412.2.1的证书实践声明
以及其他一些东西,最好在DigiCert的以下文档的EV栏中进行描述:https : //www.digicert.com/wp-content/uploads/2018/01/Certificate-Profiles.pdf
这些其他事情很容易遵守,因为DV证书已经需要它们,或者您可以更新openssl配置以添加DV证书不需要的或禁止的那些。
在这些其他内容中,有些是可选的,但以下关于DN的3则不是可选的,因此您必须在主体的DN中添加这些信息。创建CSR时,可以使用openssl添加它们。例如:
openssl req -config openssl-EV.cnf -new -days 365 -pubkey -key key.pem -subj "/businessCategory=Private/serialNumber=5157550/jurisdictiOnC=US/CN=fenyo.net/O=FenyoNet/C=FR" -nodes > csr.pem
对于EV证书,重要的部分如下: /businessCategory=Private/serialNumber=5157550/jurisdictiOnC=US
DN中的这3个必需属性(businessCategory,serialNumber和管辖区C)必须存在。但是openssl可能不知道businessCategory和管辖区C的OID。因此,像这样填写openssl配置文件的new_oids部分:
[ new_oids ]
businessCategory = 2.5.4.15
jurisdictiOnC= 1.3.6.1.4.1.311.60.2.1.3
在CSR中拥有这些属性是不够的,因为您拥有自己的CA,并且CA根据CA策略过滤并删除了CN的某些属性。您肯定可以运行类似的操作来签署证书:
openssl ca -verbose -in csr.pem -extensions v3_ca -out newcert.pem -config openssl-EV.cnf
如果您的openssl配置文件不是专门为EV证书设计的,则此步骤肯定会过滤您在CSR的主题DN中添加的其他属性。因此,您必须更改openssl配置文件以将那些属性保留在签名证书中。为此,请在openssl配置文件的CA部分中找到策略字段,例如policy_match,然后转到相应的部分(在此示例中为[policy_match]),然后在此部分中添加以下条目(不要删除此部分中已有的内容):
[ policy_match ]
businessCategory = optional
serialNumber = optional
jurisdictiOnC= optional
如果在CSR中找到属性,这将使“ openssl ca”输出这些属性。
现在,请注意,是符合这些CA浏览器EV指导方针是不足够的。许多浏览器添加了其他需求。例如,《 CA Browser EV指南》验证使用CRL而不是OCSP的EV证书(CA Brower说:如果证书未在AuthorityInformationAccess扩展名中指定OCSP响应者位置,则订户证书中必须存在cRLDistribution Point扩展名。)但是相反,Firefox添加了许多其他规则,包括OCSP响应程序的可用性。
Firefox执行了一些测试,以确定服务器的证书是否为有效的EV证书。如果证书通过了这些测试,则Firefox将显示新的EV UI元素。具体来说,证书必须通过以下所有测试。
来自https://wiki.mozilla.org/CA:EV_Revocation_Checking的那些规则是:
除了特定于EV的测试之外,服务器证书还必须通过DV证书所需的所有测试。Firefox 3(NSS加密库)中使用的证书验证引擎必须能够找到有效的证书链,该证书链从服务器证书扩展到Firefox附带的EV批准的根证书之一。服务器证书必须仅包含一个EV策略扩展(OID)。服务器证书可以包含一个或多个策略扩展,但不能包含多个EV策略扩展。中间证书必须隐式或显式允许服务器证书中列出的EV策略OID。Firefox 3将使用OCSP协议测试服务器证书的吊销状态。服务器证书必须包含授权信息访问(AIA)扩展,该扩展使用HTTP协议承载OCSP URI。Firefox必须能够与给定的OCSP服务器完成OCSP请求和响应事务。当OCSP服务器连接失败时,Firefox会将服务器证书视为对EV无效。对于Firefox会话中的每个服务器证书的第一次检查都是如此。Firefox使用易失性缓存来减少执行的OCSP事务数。Firefox必须能够验证收到的OCSP响应。该响应必须确认服务器证书未被吊销。必须在应用程序中启用OCSP,这是Firefox使用的默认配置。该选项称为security.ocsp.enabled。目前,Firefox将不会按需下载CRL。OCSP响应失败将导致无法进行EV治疗。
因此,要获得绿色指示条,您必须像之前所述更新您的openssl配置,并修改您的CA组织以添加OCSP响应器以及需要将您的服务器识别为EV站点的浏览器期望的其他功能。
对于拥有CA和PKI的人,Mozilla已创建了一个在线站点来检查所有这些EV要求:https : //tls-observatory.services.mozilla.com/static/ev-checker.html
在这个网站上:
您输入服务器的名称
输入您选择的EV扩展名(通常为2.23.140.1.1)
您以PEM格式输入签署了EV证书的根证书
该站点将进行测试,并告诉您什么是正确的,什么是错误的。请注意,截至今天(2018年8月2日),该网站非常慢。跳来跳去很快。