Как создать сертификат подписанный своим СА в windows?

Question

[Виктор Таран]

Создаю сертификат подписанный собственным СА сертификат
Задача подписать PDF и xls файлы используя свой доверительный центр

Работает но не  подходит поскольку говорит что сертификат недоверительный
openssl genrsa -out C:\certificate\rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -days 365 -out C:\certificate\rootCA.crt
openssl genrsa -out C:\certificate\server101.mycloud.key 4096
openssl req -new -key server101.mycloud.key -out server101.mycloud.csr
openssl x509 -req -in server101.mycloud.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server101.mycloud.crt -days 365

Так же как я понял винде нужен другой формат сертификата

openssl pkcs12 -export -inkey server101.mycloud.key  -in server101.mycloud.crt -name my_name -out final_result.pfx

Что не так ?

Answer 1

[SagePtr]

"Этот сертификат недействителен для данного назначения". К примеру, у вас он для проверки подлинности сервера, а вы его применяете для подписи кода.

Comments

[Виктор Таран]

А как это сделать ? И если делать , то нужно выставлять на сам сертификат, или на корневой тоже ?

[SagePtr]

Виктор Таран, www.lmfgtfy.com/?q=openssl+generate+code+signing+c...

Answer 2

[Виктор Таран]

Все вроде ок, но не понятно почему появляется ошибка ;(

Answer 3

[akelsey]

CRL (Certificate revocation list) он найти не может. Когда вы подписываете сертификат своим рутовым - то он прописывает URL CRL. Вот система и не может его найти. О чем вам и пишут черным по желтому.

Answer 4

[CityCat4]

CRL найти не может. В сертификате имеется запись CDP (CRL Distribution Point), указывающая либо на урл с файлом crl, либо на OCSP. Но при проверке статуса CRL проверяющая система не смогла его получить, чтобы проверить тот факт, что сертификат не отозван.
Тут надо либо обеспечить доступность CRL по задаваемой ссылке, либо ссылку на CRL тупо убрать. Правда, с "убрать" лучше поосторожнее - некоторые программы настолько глухо на CRL завязаны, что получив сертификат без CDP, не признают его за сертификат :)
UPD: Винда прекрасно переваривает CSR, созданные на линухе и прекрасно генерит сертификаты по этим CSR. Но вот PKCS#12 я предпочитаю все равно на линухе сворачивать :)

Comments

[Виктор Таран]

может глупый вопрос но CRL должен отсутствовать на корневом сертификате или на пользовательском ?

[CityCat4]

Виктор Таран, На пользовательском. CRL корневого проверять бессмысленно - он же выдан сам себе. Причем, как я уже говорил, если есть возможность сделать к нему доступ (либо поправить шаблон так, чтобы он был) - это будет лучше, даже если там будет лежать протухший пустой файл, чем отсутствие CDP в сертификате.

[Виктор Таран]

Угу, была бы возможность.
Сервер нужен для бухгалтеров они там сами будут выпускать нужные сертификаты, даже софт начал писать ибо гуи нет ;( Но нашел вот такую хнень. xca, для меня так вообще идиально, даже писать ничего не надо, дал ман девочкам пусть создают но CDP как в ней отключить так и не разобрался ;(

[CityCat4]

Виктор Таран, в openssl достаточно ее не включать :) То есть там по умолчанию ее нет :) А вот в виндовом шаблоне - по умолчанию она не только есть, но и еще указывает всегда на внутрисетевой ресурс :D

[CityCat4]

Виктор Таран, вещь интересная, пожалуй посмотрю. У меня правда давно написана туева хуча скриптов

[Виктор Таран]

сервер поднял на АД
Клиентскую часть для подписи сертификатов поднял другим способом
pdf signer https://www.signfiles.com/pdf-signer/ указываешь файл до после
или прапку до и после, лицензия 1000 рублей.
или консольная утилита. www.pdfpowertool.com/help
ну или libre office draw