Probelmas con Red Hat Enterprise Linux y Openssl 0.9.7a

14:53



De acuerdo con RedHat, en sus canales de actualización la versión más actual de Openssl es la 0.9.7a de febrero del 2003. Con esta versión es posible hacer lista de revocación de certificados (CRL) en versión 1 y 2.
Al generar una CRL versión 2 con Openssl 0.9.7a el authorityKeyIdentifier se generan de la siguiente forma:


CRL extensions:
X509v3 Authority Key Identifier:
keyid:BB:18:93:36:E2:9D:DD:F6:A6:33:31:0B:3E:56:34:C6:07:1B:B0:56
DirName:/C=MX/O=Organizacion/OU=Organizacional/CN=nombre
serial:00

Sin embargo el crlNumber no se puede generar a pesar de que en el archivo de configuración "openssl.cnf" (normalmente localizado en "/etc/ssl/openssl.cnf") se especifica en la sección "[ CA_default ]" con el parámetro
serial  = $dir\serial      # The current serial number
La solución a este problema es actualizar Openssl a su versión más reciente disponible en http://www.openssl.org/source/ y dejar a un lado las actualizaciones automáticas con RPMS.
Una vez instalada la versión más reciente, se podrán generar CRL con el crlNumber y el authorityKeyIdentifier según el RFC 3280.
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AB:19:9D:F6:B3:9E:DD:FF:A6:EE:A1:0B:0E:56:00:C6:06:1B:BB:50
X509v3 CRL Number:
2

You Might Also Like

0 comentarios