我创建了一个根,一个中间证书。然后我签了我的扩展证书,但事实并非如此。
我将根证书和中间证书添加到浏览器和计算机的密钥库中。
我看到“安全”这个词,但我想在绿色栏中看到我的名字。
使用OpenSSL生成一个扩展证书的策略是什么?
certificatePolicies=ia5org,1.2.3.4,1.5.6.7.8,@polsect
[polsect]
policyIdentifier = 1.3.5.8
CPS.1="https://jitc.rahmican.com.tr";
userNotice.1=@notice
[notice]
explicitText="Explicit Text Here"
organization="rahmican ltd sti"
noticeNumbers=1,2,3,4
我在openssl conf文件中使用了以下内容但它没有。
你能帮帮我吗?
首先,你必须遵守CA Browser EV Guidelines:
这些其他东西很容易遵守,因为它们已经是DV证书所需要的,或者您可以更新openssl配置以添加那些不需要或禁止的DV证书。
在这些附加的东西中,有些是可选的,但是关于DN的以下3个不是,所以你必须在主题的DN中添加这些信息。在创建CSR时,可以使用openssl添加它们。例如:
openssl req -config openssl-EV.cnf -new -days 365 -pubkey -key key.pem -subj "/businessCategory=Private/serialNumber=5157550/jurisdictionC=US/CN=fenyo.net/O=FenyoNet/C=FR" -nodes > csr.pem
EV证书的重要部分如下:/businessCategory=Private/serialNumber=5157550/jurisdictionC=US
必须存在DN中的3个必需属性(businessCategory,serialNumber和jurisdictionC)。但是openssl可能不知道businessCategory和辖区C的OID。所以,填写openssl配置文件的new_oids部分,如下所示:
[ new_oids ]
businessCategory = 2.5.4.15
jurisdictionC = 1.3.6.1.4.1.311.60.2.1.3
在CSR中拥有这些属性是不够的,因为您拥有自己的CA,并且CA根据CA策略过滤并删除CN的某些属性。您当然可以运行类似的东西来签署证书:
openssl ca -verbose -in csr.pem -extensions v3_ca -out newcert.pem -config openssl-EV.cnf
如果您的openssl配置文件尚未专门为EV证书设计,则此步骤肯定会过滤您在CSR中主题的DN中添加的其他属性。因此,您必须更改openssl配置文件以将这些属性保留在签名证书中。要完成此操作,请在openssl配置文件的CA部分中找到策略字段,例如policy_match,然后转到相应的部分(本例中为[policy_match]),并在此部分中添加以下条目(不要删除本节中已有的内容):
[ policy_match ]
businessCategory = optional
serialNumber = optional
jurisdictionC = optional
如果在CSR中找到它们,这将使“openssl ca”输出这些属性。
现在,请注意,符合那些CA Browser EV指南是不够的。许多浏览器增加了其他需求例如,CA浏览器EV指南验证使用CRL而不是OCSP的EV证书(CA Brower说:如果证书未在authorityInformationAccess扩展中指定OCSP响应者位置,则必须在订购者证书中存在cRLDistribution Point扩展。)。但恰恰相反,Firefox增加了许多其他规则,包括OCSP响应器的可用性。
Firefox会执行多项测试以确定服务器的证书是否为有效的EV证书。如果证书通过了这些测试,Firefox将显示新的EV UI元素。具体而言,证书必须通过以下所有测试。
来自https://wiki.mozilla.org/CA:EV_Revocation_Checking的这些规则是:
除EV特定测试外,服务器证书还必须通过DV证书所需的所有测试。 Firefox 3中使用的证书验证引擎(NSS加密库)必须能够找到从服务器证书扩展到Firefox附带的EV批准的根证书之一的有效证书链。服务器证书必须只包含一个EV策略扩展(OID)。服务器证书可能包含一个或多个策略扩展,但不得包含多个EV策略扩展。中间证书必须隐式或显式允许服务器证书中列出的EV策略OID。 Firefox 3将使用OCSP协议测试服务器证书的撤销状态。服务器证书必须包含使用HTTP协议承载OCSP URI的授权信息访问(AIA)扩展。 Firefox必须能够与给定的OCSP服务器完成OCSP请求和响应事务。当OCSP服务器连接失败时,Firefox会将服务器证书视为EV无效。这适用于Firefox会话中每个服务器证书的首次检查。 Firefox使用volatile缓存来减少执行的OCSP事务的数量。 Firefox必须能够验证收到的OCSP响应。响应必须确认服务器证书未被撤销。必须在应用程序中启用OCSP,这是Firefox使用的默认配置。该选项名为security.ocsp.enabled。此时Firefox不会按需下载CRL。 OCSP还必须适用于中间证书。 OCSP响应失败将导致未给予EV治疗。
因此,要获得绿色条,您必须像之前所述更新openssl配置,并修改您的CA组织以添加OCSP响应程序以及需要将您的服务器识别为EV站点的浏览器所期望的其他内容。
对于那些拥有CA和PKI的人来说,Mozilla创建了一个在线站点来检查所有这些EV需求:https://tls-observatory.services.mozilla.com/static/ev-checker.html
在这个网站上:
该网站将进行测试并告诉您哪些是正确的,哪些是错的。请注意,截至今天(2018年8月2日),该网站非常缓慢。跳跃它很快就会出现。