StrongswanPKI - добавление status_request или расширения MustStaple TLS к сертификату?

Question

StrongswanPKI - добавление status_request или расширения MustStaple TLS к сертификату?

Использование инструмента PKI от strongswan для настройки CA. Попытка настроить сторону OCSP натолкнулась на множество проблем, как в другом потоке, который я опубликовал ( Strongswan PKI - Сертификаты ED25519 - Проблемы с OCSP Responder). Сейчас я смотрю, как добавить сшивание.

Есть ли способ создания сертификатов с помощью strongswan pki, которые используют расширение MustStaple или как последний openssl ссылается на него status_request?

Кажется, я не могу найти ни документацию, ни информацию об этом. Не могу даже узнать, как добавить расширения к сертификату с помощью strongswan pki.

0

certificate certificate-authority strongswan pki ocsp

Источник

shinooni 03 май '18 в 04:29

1 ответ

Другие вопросы по тегам certificate certificate-authority strongswan pki ocsp

ecdsa 03 май '18 в 08:16 2018-05-03 08:16 · Answer 1 · 2018-05-03 08:16

Расширение X.509, на которое вы ссылаетесь, на самом деле называется "расширением TLS" и определено в RFC 7633. Если он определен, он содержит список идентификаторов расширений TLS, одним из которых может быть status_request, Так что это довольно специфично для TLS.

Аналогично, сшивание OCSP является функцией TLS (через расширение запроса статуса сертификата, как определено в RFC 6066), поэтому оно напрямую не применимо к IKEv2.

Однако есть аналогичная функция, определенная в RFC 4806, которая позволяет обмениваться ответами OCSP во время аутентификации IKEv2. strongSwan в настоящее время не поддерживает это, все же.

По этим причинам расширение в настоящее время не имеет отношения к strongSwan, поэтому инструмент pki не обеспечивает его поддержку.