Использование инструмента PKI от strongswan для настройки центра сертификации. Попытка настроить сторону OCSP столкнулась со многими проблемами в соответствии с другой веткой, которую я опубликовал (Strongswan PKI - сертификаты ED25519 - у ответчика OCSP возникают проблемы). Сейчас смотрю, как добавить скобки.
Есть ли способ создания сертификатов с помощью strongswan pki, которые используют расширение MustStaple, или как последний openssl ссылается на него status_request?
Я не могу найти ни документации, ни информации о нем. Даже не могу узнать, как добавить расширения к сертификату с помощью strongswan pki.
Расширение X.509, о котором вы говорите, на самом деле называется «расширением функции TLS» и определено в RFC 7633. Если определено, оно содержит список Идентификаторы расширения TLS из которых один может быть status_request
. Так что это довольно специфично для TLS.
Точно так же сшивание OCSP является функцией TLS (через расширение запроса статуса сертификата, как определено в RFC 6066), поэтому он не применим напрямую к IKEv2.
Однако аналогичная функция определена в RFC 4806, что позволяет обмениваться ответами OCSP во время аутентификации IKEv2. сильный в настоящее время не поддерживает это, хотя.
По этим причинам расширение в настоящее время не актуально для strongSwan, поэтому инструмент pki не поддерживает его.