Denuncie   Favoritos   Indicar  

Open SSL Com -extensions

1. Open SSL Com -extensions

Daniel
dpitta
(usa Debian)

Enviado em 29/08/2016 - 17:07h

Boa tarde, estou fazendo um sisteminha para criação de Certificados Digitais ICP-Brasil e estou usando o OpenSSL
Já criei o Certificado ca.key e estou conseguido criar o Certificado e assinar outros certificados que criei, mas preciso colocar outras informações dentro desses certificados que acredito seja feito com opção -extensions.

Para essa extensão tenho que seguir uma regra imposta pela ICP-Brasil em: http://www.alvestrand.no/objectid/2.16.76.1.3.4.html

Na hora de gerar o certificado estou usando essa opção:
openssl x509 -req -extensions 2.16.76.1.3.4,080419740000000000000000000000000011111111111111 -days 365 -in $nomerepre.csr -CA ca.crt -CAkey ca.key -set_serial 10102014 -out $nomerepre.crt -passin pass:$senha

Onde
2.16.76.1.3.4 seria o OID
080419740000000000000000000000000011111111111111 Uma data de nascimento + uma seguencia apenas para teste

O sistema gera e assina o certificado, mas quando checo para ver se a extensão foi colocada na aparece nada e o sistema GERA o certificado sem mensagem de erro.




0 0
  • Quote

    •   


    2. Re: Open SSL Com -extensions

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 29/08/2016 - 18:19h

    Olhando aqui, tem como vc inserir esse OID no arquivo de configuração. Teste ae:

    https://support.quovadisglobal.com/kb/a471/inserting-custom-oids-into-openssl.aspx

    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote

    • 3. Re: Open SSL Com -extensions

    Daniel
    dpitta
    (usa Debian)

    Enviado em 29/08/2016 - 21:17h

    Obrigado pela ajuda, estou rodando assim:

    openssl req -new -config my_oids.conf -key $nomerepre.key -out $nomerepre.csr -passin pass:$senha \
    -subj "/C=$CountryName/ST=$State/L=$City/O=$Organization/CN=$CommonName/emailAddress=$Email"

    Onde my_oids.conf eu coloquei o conteúdo de teste como esta na pagina que vc indicou :

    oid_section = OIDs
    extensions = v3_req

    [ req ]
    default_bits = 2048
    prompt = no
    encrypt_key = no
    default_md = sha1
    distinguished_name = dn
    req_extensions = req_ext

    [ OIDs ]
    MySensationalOID=1.2.3.45
    MyOutstandingOID=2.3.4.56

    [ dn ]
    CN = John Smith
    emailAddress = john.smith@quovadisglobal.com
    O = QuoVadis Group
    C = US
    MySensationalOID= Support Department

    [ req_ext ]
    subjectAltName = email:john.smith@quovadisglobal.com
    MyOutstandingOID=Hubert Dean

    E esta dando o seguinte erro:

    Error Loading request extension section req_ext
    140432289818280:error:22097081:X509 V3 routines:DO_EXT_NCONF:unknown extension:v3_conf.c:129:
    140432289818280:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:v3_conf.c:93:name=MyOutstandingOID, value=Hubert Dean



    0 0
  • Quote

    • 4. Re: Open SSL Com -extensions

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 30/08/2016 - 09:22h

    Percebi q vc está realizando um teste. Por algum motivo, ele não reconheceu uma OID q vc definiu. Reveja isso.
    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote

    • 5. Re: Open SSL Com -extensions

    Daniel
    dpitta
    (usa Debian)

    Enviado em 30/08/2016 - 21:59h

    Fiz uma alteração no "my_oids.conf" conforme abaixo e rodou sem erros, mas as informações que eu queria não foram colocadas nos certificados conforme segue nas Imagens em anexo.

    Estou gerando o Certificado da seguinte forma:

    openssl req -new -config my_oids.conf -key MEUNOME.key -out MEUNOME.csr -passin pass:123qwe


    Conteúdo do arquivo: my_oids.conf
    ----------------------------------------------------------------
    oid_section = OIDs

    [v3_req]
    1.2.3.4.5.6.7.8=ASN1:UTF8String:Something

    [ req ]
    default_bits = 2048
    prompt = no
    encrypt_key = no
    default_md = sha1
    distinguished_name = dn
    req_extensions = req_ext
    req_extensions = v3_req

    [ OIDs ]
    MySensationalOID=1.2.3.45
    MyOutstandingOID=2.3.4.56

    [ dn ]
    CN = Daniel Pitta:000000000-80
    emailAddress = dpitta@hotmail.com
    O = MINHA EMPRESA
    C = BR
    ST = RIO DE JANEIRO
    L = NITEROI
    MySensationalOID= Support Department

    [ req_ext ]
    subjectAltName = email:john.smith@quovadisglobal.com

    MyOutstandingOID=Hubert Dean

    ----------------------------------------------------------------------------------------
    Aqui coloquei a imagem de como esta o conteúdo de um certificado Oficial pela ICP-Brasil e uma imagem do Gerado por mim.

    http://www.brcertificadosdigitais.com.br/images/CertDaniel.jpg
    http://www.brcertificadosdigitais.com.br/images/CertOficial.jpg



    0 0
  • Quote

    • 6. Re: Open SSL Com -extensions

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 31/08/2016 - 08:40h

    Vc não deveria mudar as OIDs q estão no arquivo para as OIDs q eles estão exigindo? Tipo assim:


    
[ OIDs ]
    
MySensationalOID=2.16.76.1.3.4

    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote

    • 7. Re: Open SSL Com -extensions

    Daniel
    dpitta
    (usa Debian)

    Enviado em 31/08/2016 - 11:34h

    Se eu coloco:
    oid_section = OIDs

    [ OIDs ]
    MySensationalOID=2.16.76.1.3.4

    [ req ]
    default_bits = 2048
    prompt = no
    encrypt_key = no
    default_md = sha1
    distinguished_name = dn
    req_extensions = req_ext
    req_extensions = v3_req


    [ dn ]
    CN = Daniel Pitta:000000000-80
    emailAddress = dpitta@hotmail.com
    O = MINHA EMPRESA
    C = BR
    ST = RIO DE JANEIRO
    L = NITEROI
    MySensationalOID=00000000111111111112222222222233333333333444444


    Essa Informações "00000000111111111112222222222233333333333444444"
    Obs: Essas numeração é definida conforme http://www.alvestrand.no/objectid/2.16.76.1.3.4.html

    O Certificado inclui essas informações, no item referente ao [dn]
    ...............L=NITEROI/2.16.76.1.3.4=00000000111111111112222222222233333

    E não na linha referente a "Extensoes:"





    0 0
  • Quote

    • 8. Re: Open SSL Com -extensions

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 31/08/2016 - 16:56h

    Desculpe, cara, eu já não sei como t ajudar mais. Quando vc encontrar a solução, não se esqueça de compartilhar conosco.
    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg

    Criatividade para TI parte 1

    Melhorando o tempo de boot do Fedora e outras distribuições

    Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46

    E a guerra contra bots continua

    Dicas

    Instalar Google Chrome no Debian e derivados

    Consertando o erro do Sushi e Wayland no Opensuse Leap 15

    Instalar a última versão do PostgreSQL no Lunix mantendo atualizado

    Flathub na sua distribuição Linux e comandos básicos de gerenciamento

    Instalando o FreeOffice no LMDE 6

    Tópicos

    Problema no áudio do linux mint (36)

    Erro no boot image (4)

    Desenvolvimento de um driver (17)

    Quais Shell Scripts vocês usam? (8)

    Problemas para conectar à rede no Linux Mint (11)

    Top 10 do mês

    Scripts

    [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

    [Shell Script] Script para criar certificados de forma automatizada no OpenVpn

    [Shell Script] Conversor de vídeo com opção de legenda

    [C/C++] BRT - Bulk Renaming Tool

    [Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: