Comments | wizzard0: X.509

wizzard0

X.509

Oct 24, 2013 11:13

Астрологи обьявили день цифровых подписей.

Как с помощью openssl (ну или чего угодно, CNG, CryptoAPI, BouncyCastle, NSS, whatever) повесить на X.509 сертификат две подписи? (чтобы выразить факт доверия к intermediate CA1 со стороны root CA2 и root CA3, также известно как cross-signing)

This entry was originally posted at http://wizzard.dreamwidth ( Read more... )

crypto, вопрос, x509

Leave a comment

Back to all threads

lionet October 24 2013, 08:40:27 UTC

Нет этого в X.509 (RFC3280). Сертификат может только одну подпись иметь.

nponeccop October 24 2013, 08:49:00 UTC

Раздел 3.5 Management Protocols упоминает cross-certification - это оно?

lionet October 24 2013, 09:26:05 UTC

Я так понимаю (чисто по протоколу смотря - я же ASN.1 эксперт, а не PKIX-эксперт), что для того, чтобы подписать серт два раза надо ДВА сертификата сгенерировать в итоге. Этот же механизм используется в кросс-сертификации: когда твой CA1 является 1) self-signed, и, одновременно, 2) есть другой сертификат CA1 с теми же данными, который является подписанным другим CA2.

arkanoid October 24 2013, 10:55:49 UTC

угу, именно.

wizzard0 October 24 2013, 15:19:59 UTC

Хм. Походу, я криво прочитал стандарт. Ладно...

wizzard0 October 24 2013, 15:24:00 UTC

Т.е. задача - предполагая что один CA у нас fraudulent, потребовать чтоб сертификат удостоверили *оба*.

Back to all threads