Я ищу главный список CRL. Самое близкое, что я нашел, - это проект Chromium CRLSets. я использовал crlset-инструменты получить crlset (crlset fetch > crl-set), а затем вывалил серийные номера (crlset dump crl-set) так что я вижу что-то вроде этого:
f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
03fb3b4d35074e
03fbf94a0e6c39
04097214d6c97c
0442c6b3face55
....
Я хочу иметь возможность передать openssl или curl (который использует openssl) файл CRL, содержащий главный список всех плохих серийных номеров. Например, вместо того, чтобы просто передавать crl verisign, я хочу, чтобы все было передано. Я думал, что могу сделать это с помощью crlset, но я не думаю, что формат совместим. Я попытался openssl crl -inform DER -text -in crl-set но он говорит:
unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL
Если у кого-то есть идеи, как сделать то, о чем я говорю, или какой-либо творческий способ сделать это, пожалуйста, дайте мне знать. Спасибо
Это может быть невозможно, по крайней мере, в той форме, в которой вы хотите.
Учтите, что в наборах CRL Chrome есть (возможно) несколько отозванных сертификатов из множественный Центры сертификации. Один файл CRL, содержащий сертификат от множественный ЦС известен как «косвенный список отзыва сертификатов». Косвенные CRL плохо поддерживаются; видеть Вот и Вот; OpenSSL, возможно, не сможет этого сделать.
Кроме того, как упоминает @bentek, похоже, что формат CRLsets несовместим. В частности, формат CRLsets не содержит всех необходимых полей CRL; видеть RFC 5280, раздел 5.1. Наборы CRL содержат (согласно документации) хэш SHA-256 информации об открытом ключе субъекта для выдающих сертификатов и серийные номера сертификатов для отозванных сертификатов из этого выдающего сертификата. Недостаточно информации, чтобы восстановить непосредственный CRL (т.е. один файл CRL на ЦС), к сожалению, если бы мы захотели. Самый большой недостаток / упущение, ИМХО, это название (DN) эмитента отозванного сертификата. Наборы CRL дают нам «отпечаток пальца» (хэш SHA-256 SPKI), но сопоставить этот отпечаток с DN соответствующего сертификата, учитывая масштабы Интернета, было бы непростой задачей.