On 2008.06.03 at 16:59:50 +0300, Maxim Tyurin wrote: > > openssl, если я правильно ошибаюсь, умеет засунуть в сертификат все, что > > угодно. Только OID придется узнать самостоятельно.
OpenSSL прекрасно знает слово crlDistributionPoints. Мог бы и objects.txt прогрепать прежде чем отвечать. > А где кроме исходников openssl посмотреть как это сделать? В том числе > и OID. В файле openssl.cnf который используется при операциях CA пишем в разделе, испольуземом при операции ca x509_extensions = some_section_name Дальше там же пишем раздел [some_section_name] basicConstraints=CA:FALSE crlDistribuitonPoints=URI:http://some.host.ru/current.crl Можно даже в раздел CA_default не добавлять строку x509_extensions = а указать нужную секцию в командной строке команды openssl ca с помощью ключика -extensions имя-секции. Это описано в man ca. Можно взять русский перевод мануала на openssl http://www.cryptocom.ru/files/00009-01%2034%2001.pdf > > MT> И еще вопрос. > > MT> Можно ли в существующие сертификаты добавить crlDistributionPoints и > > MT> подписать их другим CA? > > > > Операция подписи сертификата создает новый сертификат :-) Можно > > выписать новый сертификат на тот же ключ. > > Неточно выразился :) Мне ключи сохранить надо. Отзывать и выдавать > новые это очень большой геморрой. > > Да и насколько я понимаю идентификация остается та-же (CN,email,...) > Просто req надо подписать другим CA. > -- > > With Best Regards, Maxim Tyurin > JID: [EMAIL PROTECTED] > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
