尝试生成TSA回复时,我收到以下错误。
$ openssl ts -reply -queryfile test.tsq -out test.tsr -inkey private/tsakey.pem -signer tsa.crt.pem
140234774902432:error:2F083075:time stamp routines:TS_RESP_CTX_set_signer_cert:invalid signer certificate purpose:ts_rsp_sign.c:206:
在下面找到所遵循的程序......
$ openssl req -new -newkey rsa:2048 -keyout private/tsakey.pem -out tsareq.pem -nodes
$ openssl ca -in tsareq.pem -out tsa.crt.pem -extensions mytsa -extfile tsa.x509config
$ openssl ts -query -data test.txt -no_nonce -out test.tsq
$ openssl ts -reply -queryfile test.tsq -out test.tsr -inkey private/tsakey.pem -signer tsa.crt.pem
扩展文件是:
[mytsa]
basicConstraints=CA:FALSE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
#keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage=timeStamping
答案 0 :(得分:0)
经过更多的考察和测试后,我想我找到了aswer。对于时间戳,您必须仅为nonRepudiation和digitalSignature包含keyUsage。
所以没有我的文件如下所示,它有效!
[mytsa]
basicConstraints=CA:FALSE
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
keyUsage = nonRepudiation, digitalSignature
extendedKeyUsage=timeStamping
我只是把它留在这里,因为也许其他人也有同样的问题。
答案 1 :(得分:0)
您需要按照RFC 3161, Section 2.3将扩展密钥用法标记为关键(extendedKeyUsage = critical,timeStamping)。