Я не могу создать CRL. Возможно, мне что-то не хватает в файле конфигурации. Я получаю сообщение об ошибке «Ошибка openssl при загрузке номера crl». Раздел конфигурации crl:
[ CA_default ]
# Directory and file locations.
dir = box/ca
certs = $dir/certs
crl_dir = $dir/crl
new_certs_dir = $dir/newcerts
database = $dir/index.txt
serial = $dir/serial
RANDFILE = $dir/private/.rand
# For certificate revocation lists.
crlnumber = $dir/crlnumber
crl = $dir/crl/RcCA.crl
crl_extensions = crl_ext
default_crl_days = 30
Команда, которую я использую:
openssl ca -config full-path-to-openssl.cnf -gencrl -out full-path-to-RcCA.crl
Где rcCA - это файл crl. Файловая структура:
корневой ЦС
частный
серийный
Нижние три - файлы, вверху - папки.
Ответы, которые я нашел, указывают на отсутствие индексного файла. Но он есть на моей машине. Я не знаю, положил ли я его в нужное место.
@StacksOfZtuff помогло. Но теперь я получаю разные ошибки. Я не знаю, считается ли это решенным, или я просто маскирую предыдущую ошибку.
22048:error:2207707B:X509 V3 routines:V2I_AUTHORITY_KEYID:unable to get issuer keyid:.\crypto\x509v3\v3_akey.c:165:
22048:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:.\crypto\x509v3\v3_conf.c:95:name=authorityKeyIdentifier, value=keyid:always
Подчеркну, мой ЦС работает нормально, за исключением проблемы со списком отзыва сертификатов. Я могу сгенерировать ключ, csr, cer и pkcs12. Кажется, я могу добавлять записи в CRL, но когда я пытаюсь вызвать gencrl команда, я получаю ошибки. Я даже не уверен, имеет ли это значение
Последующий пост: Openssl сгенерировать CRL выдает ошибку: невозможно получить keyiid эмитента
Попробуй это:
echo 1000 > crlnumber