Wie kann ich die indirekte CRL überprüfen?

Ich versuche, ein Beispiel für die indirekte CRL zur Verfügung zu stellen. Wenn ich jedoch versuche, es mit dem Befehl openssl verify zu überprüfen, bekomme ich entweder "Zertifikats-CRL kann nicht abgerufen werden" oder "Anderer CRL-Bereich".

Die Frage ist:

• Benutze ich den Befehl openssl verify richtig?
• Fehlt etwas in den Zertifikaten oder der CRL?

Der PKI-Baum sieht folgendermaßen aus:

 ca | -------------------------------- | | | a-td b-td ta | | |  client_cert server_cert crl 

Die Idee wäre, dass der TA als CRL-Emittent fungiert und eine indirekte CRL erstellt, um Client-Zertifikate zu widerrufen.

Um dies zu testen, verwende ich das openssl verify-Tool wie folgt:

openssl verify -crl_check \ -CAfile <(cat ca.pem b-td.pem) \ -untrusted <(cat ta.pem ta.crl) \ -extended_crl client1.pem 

Welches führt dazu, dass "Zertifikat CRL nicht abgerufen werden kann".

Wenn ich die CRL zur CAfile-Kette hinzufüge, erhalte ich einen anderen CRL-Bereich.

openssl verify -crl_check \ -CAfile <(cat ca.pem b-td.pem ta.pem ta.crl) \ -extended_crl client1.pem 

Ich liste hier auch die Details von a-td.pem, ta.pem, client.pem und der CRL auf.

# a-td.pem Zertifikat: Daten: Version: 1 (0x0) Seriennummer: 2 (0x2) Signaturalgorithmus: sha1WithRSAEncryption Aussteller: C = US, O = Test, OU = Test Certificate Authority, CN = Test Root C-TA Gültigkeit Nicht vor: 29. November 16:07:40 2017 GMT Nicht nach: 29. November 16:07:40 2027 GMT Betreff: C = US, O = Test, CN = Test Informationen zum Betreff des öffentlichen Schlüssels: Public-Key-Algorithmus: rsaEncryption Public-Key: (2048 Bit) Modul: ... Exponent: 65537 (0x10001) X509v3-Erweiterungen: X509v3-Schlüsselverwendung: kritisch Zertifikat-Zeichen, CRL-Zeichen X509v3 Grundbedingungen: kritisch CA: TRUE, Pfad: 0 X509v3 Betreffschlüsselkennung:  92: D9: C4: 68: BF: EA: D7: 41: 64: C1: 92: A3: 00: A0: 09: 06: 5F: B4: 61: 07 

# ta.pem Zertifikat: Daten: Version: 1 (0x0) Seriennummer: 4 (0x4) Signaturalgorithmus: sha1WithRSAEncryption Aussteller: C = US, O = Test, OU = Test Certificate Authority, CN = Test Root C-TA Gültigkeit Nicht vor: 29.11. 16:45:03 2017 GMT Nicht nach: 29. November 16:45:03 2027 GMT Betreff: C = US, O = Test, CN = Test Informationen zum Betreff des öffentlichen Schlüssels: Public-Key-Algorithmus: rsaEncryption Public-Key: (2048 Bit) Modul:... Exponent: 65537 (0x10001) X509v3-Erweiterungen: X509v3-Schlüsselverwendung: kritisch CRL-Zeichen X509v3 Grundbedingungen: kritisch CA: TRUE, Pfad: 0 X509v3 Betreffschlüsselkennung:  F1: FC: 12: 14: 1E: 93: DO: FA: 9E: A6: 01: D9: 1D: 33: BE: 70: BD: 79: 80: FC X509v3 alternativer Betreff:  URI: http: //localhost/crl/ta.crl X509v3 CRL-Verteilungspunkte:   Vollständiger Name: URI: http: //localhost/crl/ta.crl  

# client.pem Zertifikat: Daten: Version: 1 (0x0) Seriennummer: 1 (0x1) Signaturalgorithmus: sha1WithRSAEncryption Aussteller: C = US, O = Test, CN = Test Gültigkeit Nicht vor: 29. November 16:45:04 2017 GMT Nicht nach: 29. November 16:45:04 2019 GMT Betreff: C = US, O = Test, CN = Test Informationen zum Betreff des öffentlichen Schlüssels: Public-Key-Algorithmus: rsaEncryption Public-Key: (2048 Bit) Modul: ... Exponent: 65537 (0x10001) X509v3-Erweiterungen: X509v3-Schlüsselverwendung: kritisch Digitale Unterschrift X509v3 Extended Key Usage:  TLS-Webclient-Authentifizierung X509v3 Betreffschlüsselkennung:  CB: CA: EA: 1D: 3D: A3: 4E: D6: 88: 26: 28: 31: 70: 38: 18: 19: 5C: 8E: E0: B6 

# ta.crl Zertifikatssperrliste (CRL): Version 2 (0x1) Signaturalgorithmus: sha1WithRSAEncryption Aussteller: / C = US / O = Test / CN = Test Letzte Aktualisierung: 29.11. 16:45:04 2017 GMT Nächstes Update: 30.11. 16:45:04 2017 GMT CRL-Erweiterungen: X509v3 Ausgabestützpunkt: kritisch Vollständiger Name: URI: http: //localhost/crl/ta.crl Indirekte CRL  X509v3 CRL-Nummer:  1 Keine widerrufenen Zertifikate