我们拥有自己的供内部使用的 CA,可保护大约十台服务器/服务的安全。我们实际上没有或不需要证书吊销列表。
但是,当我们尝试设置 Dovecot 来验证 Postfix 服务器的身份时,我们发现 Dovecot 不会接受我们的 CA 证书,除非它具有附加到同一文件的 CRL。
如果我们有一个公共 CA 证书,authority.crt我们可以在该权威证书文件中添加一些虚拟 CRL 数据以使 Dovecot 满意吗?
更新:
我想我已经差不多明白了:
openssl ca -config ca/authority.cnf \
-gencrl -crldays 365 -crl_hold holdInstructionCallIssuer
但我得到:
unable to load number from ssl/crlnumber
error while loading CRL number
140581396727104:error:0D066096:asn1 encoding routines:a2i_ASN1_INTEGER:short line:../crypto/asn1/f_int.c:140:
该crlnumber文件不存在。我尝试让它touch存在,但这不起作用,然后我将数字添加1到顶部,这也不起作用。authority.cnf我可能需要在该文件的配置文件中进行一些设置crlnumber。
制作 CRL 的命令是:
在 中
authority.cnf,您需要:您还需要
crlnumber提前创建文件并用数字填充它。该数字必须是偶数位。即1无效,但01有效。您将获得一个 CRL,可以将其粘贴到证书颁发机构的 crt 文件中。多维科特也接受了这一点。