The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"error 10 at 1 depth lookup:certificate has expired"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Шифрование, SSH, SSL / Linux)
Изначальное сообщение [ Отслеживать ]

"error 10 at 1 depth lookup:certificate has expired"  +/
Сообщение от cam email(ok) on 16-Май-13, 15:26 
В общем поднял CA на одной машине. Для этой цели использую CentOS 6.4 и Openssl, но проблема в том что после месяца сертификаты становятся не валидными и не понимаю где косяк.

# openssl verify -CAfile ca.crt server1.crt
........................................
error 10 at 1 depth lookup:certificate has expired
OK

Конфиг CA:
[ ca ]
default_ca      = CA_default            # The default ca section

[ CA_default ]

dir             = .             # Where everything is kept
certs           = $dir/certs            # Where the issued certs are kept
crl_dir         = $dir/crl              # Where the issued crl are kept
database        = $dir/index.txt        # database index file.
unique_subject  = no                    # Set to 'no' to allow creation of
                                        # several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.

certificate     = $dir/ca.crt           # The CA certificate
serial          = $dir/serial           # The current serial number
crlnumber       = $dir/crlnumber        # the current crl number
                                        # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/ca.key           # The private key
RANDFILE        = $dir/private/.rand    # private random number file

x509_extensions = usr_cert              # The extentions to add to the cert

name_opt        = ca_default            # Subject Name options
cert_opt        = ca_default            # Certificate field options

default_days    = 365                   # how long to certify for
default_crl_days= 30                    # how long before next CRL
default_md      = default               # use public key default MD
preserve        = no                    # keep passed DN ordering

policy          = policy_match

[ policy_match ]
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

генерировал сертификаты таким образом:
openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr
openssl ca -config ./openssl.cnf -out server1.crt -days 3650 -infiles server1.csr

вот соделжимое самого сертификата на счет Validity :

       Validity
            Not Before: Apr 15 08:19:17 2013 GMT
            Not After : Apr 13 08:19:17 2023 GMT

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "error 10 at 1 depth lookup:certificate has expired"  +/
Сообщение от aurved on 16-Май-13, 21:37 
укажи в команде openssl req опцию -days 3650, то есть:

openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr -days 3650

а то в конфиге как раз и стоит default_crl_days= 30 (то бишь месяц)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "error 10 at 1 depth lookup:certificate has expired"  +/
Сообщение от cam email(ok) on 17-Май-13, 17:42 
> укажи в команде openssl req опцию -days 3650, то есть:
> openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out
> server1.csr -days 3650
> а то в конфиге как раз и стоит default_crl_days= 30 (то бишь
> месяц)

Так... скажу что я сделал и что прлучилось
1. сделал revoke сертификата server1.crt
2. удалил server1.*
3. openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr -days 3650
4. openssl ca -config ./openssl.cnf -out server1.crt -days 3650 -infiles server1.csr

и вот 4то я получаю:
openssl verify -CAfile ca.crt mail.hm.is.crt
............................................
error 10 at 1 depth lookup:certificate has expired
OK

то есть без изменении.

межет у меня ca сертификат постарел ?

я его создал так:

openssl req -config ./openssl.cnf -new -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "error 10 at 1 depth lookup:certificate has expired"  +/
Сообщение от aurved on 18-Май-13, 00:54 
а очень даже может быть, так сходу поискал, генерят вот типа так:
openssl req -new -x509 -extensions v3_ca -keyout private/rootCA.key -out rootCA.crt -days 3650 -config ./openssl.cnf

так что указывают при создании самоподписанного корневого сертификата -days

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "error 10 at 1 depth lookup:certificate has expired"  +/
Сообщение от cam email(ok) on 20-Май-13, 15:06 
> а очень даже может быть, так сходу поискал, генерят вот типа так:
> openssl req -new -x509 -extensions v3_ca -keyout private/rootCA.key -out rootCA.crt -days
> 3650 -config ./openssl.cnf
> так что указывают при создании самоподписанного корневого сертификата -days

сделал так, уже подожду месяц и скажу результат


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "error 10 at 1 depth lookup:certificate has expired"  +/
Сообщение от aurved on 20-Май-13, 21:50 
так ради интереса можно и в виртуалке всё это проделать, а потом в ней дату поменять...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor