Vorrei configurare il mio OCSP Responder (solo a scopo di test). Ciò richiede che io abbia un certificato radice e alcuni certificati generati da esso.
Sono riuscito a creare un certificato autofirmato usando openssl. Voglio usarlo come certificato di root. Il prossimo passo sarebbe quello di creare i certificati derivati. Non riesco a trovare la documentazione su come farlo, tuttavia. Qualcuno sa dove posso trovare queste informazioni?
Modifica
A posteriori, la mia domanda non ha ancora ricevuto una risposta completa. Per chiarire il problema, rappresenterò la mia catena di certificati in questo modo:
RADICE -> A -> B -> C -> ...
Sono attualmente in grado di creare i certificati ROOT e A, ma non ho scoperto come creare una catena più lunga.
Il mio comando per la creazione del certificato radice è:
openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem
Il certificato A viene creato in questo modo:
openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer
Questo comando dipende implicitamente dal certificato radice, per il quale trova le informazioni richieste nel file di configurazione di openssl.
Il certificato B tuttavia deve fare affidamento solo su A, che non è registrato nel file di configurazione, quindi il comando precedente non funzionerà qui.
Quale riga di comando dovrei usare per creare certificati B e oltre?
Modifica
Ho trovato la risposta in questo articolo . Il certificato B (catena A -> B) può essere creato con questi due comandi:
# Create a certificate request
openssl req -new -keyout B.key -out B.request -days 365
# Create and sign the certificate
openssl ca -policy policy_anything -keyfile A.key -cert A.pem -out B.pem -infiles B.request
Ho anche cambiato il file openssl.cnf:
[ usr_cert ]
basicConstraints=CA:TRUE # prev value was FALSE
Questo approccio sembra funzionare bene.