форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Шифрование, SSH, SSL / Linux)
Изначальное сообщение		[ Отслеживать ]

"error 10 at 1 depth lookup:certificate has expired"	+/–
Сообщение от cam (ok) on 16-Май-13, 15:26
В общем поднял CA на одной машине. Для этой цели использую CentOS 6.4 и Openssl, но проблема в том что после месяца сертификаты становятся не валидными и не понимаю где косяк. # openssl verify -CAfile ca.crt server1.crt ........................................ error 10 at 1 depth lookup:certificate has expired OK Конфиг CA: [ ca ] default_ca      = CA_default            # The default ca section [ CA_default ] dir             = .             # Where everything is kept certs           = $dir/certs            # Where the issued certs are kept crl_dir         = $dir/crl              # Where the issued crl are kept database        = $dir/index.txt        # database index file. unique_subject  = no                    # Set to 'no' to allow creation of                                         # several ctificates with same subject. new_certs_dir   = $dir/newcerts         # default place for new certs. certificate     = $dir/ca.crt           # The CA certificate serial          = $dir/serial           # The current serial number crlnumber       = $dir/crlnumber        # the current crl number                                         # must be commented out to leave a V1 CRL crl             = $dir/crl.pem          # The current CRL private_key     = $dir/ca.key           # The private key RANDFILE        = $dir/private/.rand    # private random number file x509_extensions = usr_cert              # The extentions to add to the cert name_opt        = ca_default            # Subject Name options cert_opt        = ca_default            # Certificate field options default_days    = 365                   # how long to certify for default_crl_days= 30                    # how long before next CRL default_md      = default               # use public key default MD preserve        = no                    # keep passed DN ordering policy          = policy_match [ policy_match ] countryName             = match stateOrProvinceName     = match organizationName        = match organizationalUnitName  = optional commonName              = supplied emailAddress            = optional генерировал сертификаты таким образом: openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr openssl ca -config ./openssl.cnf -out server1.crt -days 3650 -infiles server1.csr вот соделжимое самого сертификата на счет Validity :        Validity             Not Before: Apr 15 08:19:17 2013 GMT             Not After : Apr 13 08:19:17 2023 GMT
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "error 10 at 1 depth lookup:certificate has expired"	+/–
Сообщение от aurved on 16-Май-13, 21:37
укажи в команде openssl req опцию -days 3650, то есть: openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr -days 3650 а то в конфиге как раз и стоит default_crl_days= 30 (то бишь месяц)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "error 10 at 1 depth lookup:certificate has expired"	+/–
	Сообщение от cam (ok) on 17-Май-13, 17:42
	> укажи в команде openssl req опцию -days 3650, то есть: > openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out > server1.csr -days 3650 > а то в конфиге как раз и стоит default_crl_days= 30 (то бишь > месяц) Так... скажу что я сделал и что прлучилось 1. сделал revoke сертификата server1.crt 2. удалил server1.* 3. openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr -days 3650 4. openssl ca -config ./openssl.cnf -out server1.crt -days 3650 -infiles server1.csr и вот 4то я получаю: openssl verify -CAfile ca.crt mail.hm.is.crt ............................................ error 10 at 1 depth lookup:certificate has expired OK то есть без изменении. межет у меня ca сертификат постарел ? я его создал так: openssl req -config ./openssl.cnf -new -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "error 10 at 1 depth lookup:certificate has expired"	+/–
	Сообщение от aurved on 18-Май-13, 00:54
	а очень даже может быть, так сходу поискал, генерят вот типа так: openssl req -new -x509 -extensions v3_ca -keyout private/rootCA.key -out rootCA.crt -days 3650 -config ./openssl.cnf так что указывают при создании самоподписанного корневого сертификата -days
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "error 10 at 1 depth lookup:certificate has expired"	+/–
	Сообщение от cam (ok) on 20-Май-13, 15:06
	> а очень даже может быть, так сходу поискал, генерят вот типа так: > openssl req -new -x509 -extensions v3_ca -keyout private/rootCA.key -out rootCA.crt -days > 3650 -config ./openssl.cnf > так что указывают при создании самоподписанного корневого сертификата -days сделал так, уже подожду месяц и скажу результат
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "error 10 at 1 depth lookup:certificate has expired"	+/–
	Сообщение от aurved on 20-Май-13, 21:50
	так ради интереса можно и в виртуалке всё это проделать, а потом в ней дату поменять...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема