Comments | wizzard0: X.509

wizzard0

X.509

Oct 24, 2013 11:13

Астрологи обьявили день цифровых подписей.

Как с помощью openssl (ну или чего угодно, CNG, CryptoAPI, BouncyCastle, NSS, whatever) повесить на X.509 сертификат две подписи? (чтобы выразить факт доверия к intermediate CA1 со стороны root CA2 и root CA3, также известно как cross-signing)

This entry was originally posted at http://wizzard.dreamwidth ( Read more... )

crypto, вопрос, x509

Comments 12

lionet October 24 2013, 08:40:27 UTC

Нет этого в X.509 (RFC3280). Сертификат может только одну подпись иметь.

nponeccop October 24 2013, 08:49:00 UTC

Раздел 3.5 Management Protocols упоминает cross-certification - это оно?

lionet October 24 2013, 09:26:05 UTC

Я так понимаю (чисто по протоколу смотря - я же ASN.1 эксперт, а не PKIX-эксперт), что для того, чтобы подписать серт два раза надо ДВА сертификата сгенерировать в итоге. Этот же механизм используется в кросс-сертификации: когда твой CA1 является 1) self-signed, и, одновременно, 2) есть другой сертификат CA1 с теми же данными, который является подписанным другим CA2.

arkanoid October 24 2013, 10:55:49 UTC

угу, именно.

Thread 6

sassa_nf October 24 2013, 09:42:50 UTC

В смысле? Мы верим чему? Паре имя+ключ. Кросс-сертификация не отличается от просто сертификации - за вычетом revocation, который при кросс-сертификации зависит от статуса оригинального сертификата.

wizzard0 October 24 2013, 15:21:35 UTC

> Мы верим чему? Паре имя+ключ
и да и нет, половина вопроса ревокейшн, вторая половина - можно ли кросстрастить не только Root CA а и subCA/leaf certs.

sassa_nf October 24 2013, 16:35:29 UTC

"кросстрастить" - а чё, в экстеншенах не пишется, чтО мы ему верим делать?

happynewbear October 24 2013, 15:18:30 UTC

> Астрологи обьявили день цифровых подписей.

homm3? :)

wizzard0 October 24 2013, 15:19:13 UTC

Угу.

_windwalker_ October 25 2013, 20:29:28 UTC

Рандомные ивенты ещё в Master of Orion были ;)