Me gustaría configurar mi propio respondedor OCSP (solo con fines de prueba). Esto requiere que tenga un certificado raíz y algunos certificados generados a partir de él.
He logrado crear un certificado autofirmado con openssl. Quiero usarlo como certificado raíz. El siguiente paso sería crear los certificados derivados. Sin embargo, parece que no puedo encontrar la documentación sobre cómo hacer esto. ¿Alguien sabe dónde puedo encontrar esta información?
Editar
En retrospectiva, mi pregunta aún no está completamente respondida. Para aclarar el problema, representaré mi cadena de certificados de esta manera:
RAÍZ -> A -> B -> C -> ...
Actualmente puedo crear los certificados ROOT y A, pero no he descubierto cómo hacer una cadena más larga.
Mi comando para crear el certificado raíz es:
openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem
El certificado A se crea así:
openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer
Este comando depende implícitamente del certificado raíz, para el cual encuentra la información requerida en el archivo de configuración openssl.
Sin embargo, el Certificado B solo debe confiar en A, que no está registrado en el archivo de configuración, por lo que el comando anterior no funcionará aquí.
¿Qué línea de comando debo usar para crear certificados B y más allá?
Editar
Encontré la respuesta en este artículo . El certificado B (cadena A -> B) se puede crear con estos dos comandos:
# Create a certificate request
openssl req -new -keyout B.key -out B.request -days 365
# Create and sign the certificate
openssl ca -policy policy_anything -keyfile A.key -cert A.pem -out B.pem -infiles B.request
También cambié el archivo openssl.cnf:
[ usr_cert ]
basicConstraints=CA:TRUE # prev value was FALSE
Este enfoque parece estar funcionando bien.