2004/01/02 (金)
2004-01-02:v3_CA 忘れた
のぶおかくんに自分のサーバで個人証明書作ったりしたいので CA をどうしよう、と聞かれたので、会社の RootCA で署名するから、と CSR 送ってもらって署名。
しかしここでポカ。-extensions v3_ca をつけずに署名してしまった。basicConstraints = CA:true がついてないと、CA の階層構造が取れなくて、個人証明書の確認が RootCA の証明書でできない。
自分のミスを恥じながら、いったん revoke して、再度同じ CSR で署名。
openssl ca -revoke RootCA/newcerts/771.pem openssl ca -in hoge.csr -out hogecert.pem -extensions v3_ca
よくよく /etc/ssl/openssl.cnf を見返すと、[ ca ] の x509_extensions が見ているセクションでは basicConstraints = CA:false が指定されていた。今後のポカ防止のために、true に修正しておく。
http://www.ipa.go.jp/security/rfc/RFC2459JA.html
twitter.com/kajiwataru
facebook.com/kajiwataru
