Open SSL Com -extensions

1. Open SSL Com -extensions

Daniel
dpitta

(usa Debian)

Enviado em 29/08/2016 - 17:07h

Boa tarde, estou fazendo um sisteminha para criação de Certificados Digitais ICP-Brasil e estou usando o OpenSSL
Já criei o Certificado ca.key e estou conseguido criar o Certificado e assinar outros certificados que criei, mas preciso colocar outras informações dentro desses certificados que acredito seja feito com opção -extensions.

Para essa extensão tenho que seguir uma regra imposta pela ICP-Brasil em: http://www.alvestrand.no/objectid/2.16.76.1.3.4.html

Na hora de gerar o certificado estou usando essa opção:
openssl x509 -req -extensions 2.16.76.1.3.4,080419740000000000000000000000000011111111111111 -days 365 -in $nomerepre.csr -CA ca.crt -CAkey ca.key -set_serial 10102014 -out $nomerepre.crt -passin pass:$senha

Onde
2.16.76.1.3.4 seria o OID
080419740000000000000000000000000011111111111111 Uma data de nascimento + uma seguencia apenas para teste

O sistema gera e assina o certificado, mas quando checo para ver se a extensão foi colocada na aparece nada e o sistema GERA o certificado sem mensagem de erro.





  


2. Re: Open SSL Com -extensions

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 29/08/2016 - 18:19h

Olhando aqui, tem como vc inserir esse OID no arquivo de configuração. Teste ae:

https://support.quovadisglobal.com/kb/a471/inserting-custom-oids-into-openssl.aspx

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh


3. Re: Open SSL Com -extensions

Daniel
dpitta

(usa Debian)

Enviado em 29/08/2016 - 21:17h

Obrigado pela ajuda, estou rodando assim:

openssl req -new -config my_oids.conf -key $nomerepre.key -out $nomerepre.csr -passin pass:$senha \
-subj "/C=$CountryName/ST=$State/L=$City/O=$Organization/CN=$CommonName/emailAddress=$Email"

Onde my_oids.conf eu coloquei o conteúdo de teste como esta na pagina que vc indicou :

oid_section = OIDs
extensions = v3_req

[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
req_extensions = req_ext

[ OIDs ]
MySensationalOID=1.2.3.45
MyOutstandingOID=2.3.4.56

[ dn ]
CN = John Smith
emailAddress = john.smith@quovadisglobal.com
O = QuoVadis Group
C = US
MySensationalOID= Support Department

[ req_ext ]
subjectAltName = email:john.smith@quovadisglobal.com
MyOutstandingOID=Hubert Dean

E esta dando o seguinte erro:

Error Loading request extension section req_ext
140432289818280:error:22097081:X509 V3 routines:DO_EXT_NCONF:unknown extension:v3_conf.c:129:
140432289818280:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:v3_conf.c:93:name=MyOutstandingOID, value=Hubert Dean




4. Re: Open SSL Com -extensions

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 30/08/2016 - 09:22h

Percebi q vc está realizando um teste. Por algum motivo, ele não reconheceu uma OID q vc definiu. Reveja isso.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh


5. Re: Open SSL Com -extensions

Daniel
dpitta

(usa Debian)

Enviado em 30/08/2016 - 21:59h

Fiz uma alteração no "my_oids.conf" conforme abaixo e rodou sem erros, mas as informações que eu queria não foram colocadas nos certificados conforme segue nas Imagens em anexo.

Estou gerando o Certificado da seguinte forma:

openssl req -new -config my_oids.conf -key MEUNOME.key -out MEUNOME.csr -passin pass:123qwe


Conteúdo do arquivo: my_oids.conf
----------------------------------------------------------------
oid_section = OIDs

[v3_req]
1.2.3.4.5.6.7.8=ASN1:UTF8String:Something

[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
req_extensions = req_ext
req_extensions = v3_req

[ OIDs ]
MySensationalOID=1.2.3.45
MyOutstandingOID=2.3.4.56

[ dn ]
CN = Daniel Pitta:000000000-80
emailAddress = dpitta@hotmail.com
O = MINHA EMPRESA
C = BR
ST = RIO DE JANEIRO
L = NITEROI
MySensationalOID= Support Department

[ req_ext ]
subjectAltName = email:john.smith@quovadisglobal.com

MyOutstandingOID=Hubert Dean

----------------------------------------------------------------------------------------
Aqui coloquei a imagem de como esta o conteúdo de um certificado Oficial pela ICP-Brasil e uma imagem do Gerado por mim.

http://www.brcertificadosdigitais.com.br/images/CertDaniel.jpg
http://www.brcertificadosdigitais.com.br/images/CertOficial.jpg




6. Re: Open SSL Com -extensions

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 31/08/2016 - 08:40h

Vc não deveria mudar as OIDs q estão no arquivo para as OIDs q eles estão exigindo? Tipo assim:


[ OIDs ]
MySensationalOID=2.16.76.1.3.4

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh


7. Re: Open SSL Com -extensions

Daniel
dpitta

(usa Debian)

Enviado em 31/08/2016 - 11:34h

Se eu coloco:
oid_section = OIDs

[ OIDs ]
MySensationalOID=2.16.76.1.3.4

[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
req_extensions = req_ext
req_extensions = v3_req


[ dn ]
CN = Daniel Pitta:000000000-80
emailAddress = dpitta@hotmail.com
O = MINHA EMPRESA
C = BR
ST = RIO DE JANEIRO
L = NITEROI
MySensationalOID=00000000111111111112222222222233333333333444444


Essa Informações "00000000111111111112222222222233333333333444444"
Obs: Essas numeração é definida conforme http://www.alvestrand.no/objectid/2.16.76.1.3.4.html

O Certificado inclui essas informações, no item referente ao [dn]
...............L=NITEROI/2.16.76.1.3.4=00000000111111111112222222222233333

E não na linha referente a "Extensoes:"






8. Re: Open SSL Com -extensions

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 31/08/2016 - 16:56h

Desculpe, cara, eu já não sei como t ajudar mais. Quando vc encontrar a solução, não se esqueça de compartilhar conosco.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts