openssl-config-fileの違いと、これら2つの構成パラメータの使用方法に対する答えを探しています。
certs = ... # Where the issued certs are
そして
new_certs_dir = ... # default place for new certs
内部にOpenSSLによるネットワークセキュリティO'Reillyの本では、これら2つのパラメータをdefault-openssl-config-fileに配置しますが、certs
決して使用も説明もされません。私のテストでは、openssl
すべての証明書はで定義したフォルダに保存されますnew_cers_dir
。
これら2つのパラメータの違いは何ですか?このパラメータはcerts
どこかに使用されますか?
答え1
文書に示すように
https://www.openssl.org/docs/man1.1.0/apps/ca.html
new_certs_dirは、CAによって新しく生成された証明書を出力するために使用されます。
ここでは証明書は使用されません。ただし、デモCAでは次のように参照されます。 「./demoCA/certs - 証明書出力ファイル」証明書は、次のように証明書チェーンにも使用されます。
https://www.openssl.org/docs/man1.1.0/apps/pkcs12.htmlまたはhttps://www.openssl.org/docs/man1.1.0/apps/verify.html
/etc/ssl/certs は発行された証明書のデフォルトの場所です。しかし、certs変数は$dir/certsなので、./demoCA/certsです。 CA 固有の証明書を発行するためのものであることに、私たち全員に同意できるようです。これは、CAがパブリック認証局によって発行されていない証明書に関連付けられている証明書に署名できるため、意味があります。
しかし、これに関する文書はどこにありますか?私はそれが設定ファイルのアーティファクトだと思います。証明書に ca.pem を格納する証明書などのオプションに使用されるため、証明書 = $certs/ca.pem です。
後で設定ファイルで使用されたことに気づくまで、同じ問題があったことを曖昧に覚えていますが、今ではありません。
編集:状況がますます奇妙になっています。 ca.c の現在のバージョンは次のとおりです。https://github.com/openssl/openssl/blob/master/apps/ca.c証明書は参照されません。ただし、以前のバージョンは次のとおりです。https://github.com/openssl/openssl/blob/d02b48c63a58ea4367a0e905979f140b7d090f86/apps/ca.c それを参照しますが、何もしないでください。
答え2
これには良い参照はありませんが、私の推測と個人的な使用方法は、新しく署名された証明書をディレクトリに保存し、CA証明書new_certs
(キーではない)と上位CA証明書をディレクトリに保存することです。ディレクトリの中間certs
。
これはopenssl CAではなく、一部の外部CAまたは同様のCAによって署名されているため、これを区別するためのものです。本当に、それがあなたに適しているなら、それは組織のためだけのものです。