如何创建自己的扩展验证证书以显示绿色条?

时间:2018-08-01 20:42:32

标签: openssl certificate ssl-certificate x509certificate digital-certificate

我创建了一个根,一个中间证书。然后我签署了扩展证书,但没有。

我在浏览器和计算机的密钥库中添加了根证书和中间证书。

我看到“安全”一词,但我想在绿色栏中看到我的名字。

使用OpenSSL生成一个扩展证书的政策是什么?

certificatePolicies=ia5org,1.2.3.4,1.5.6.7.8,@polsect
 [polsect] 
policyIdentifier = 1.3.5.8 
CPS.1="https://jitc.rahmican.com.tr";
userNotice.1=@notice 
[notice] 
explicitText="Explicit Text Here"
 organization="rahmican ltd sti" 
noticeNumbers=1,2,3,4

我在openssl conf文件中使用了以下内容,但没有使用。

你能帮我吗?

1 个答案:

答案 0 :(得分:4)

首先,您必须遵守CA Browser EV Guidelines

  • 您的证书需要符合DV(域验证)规则,在这里我们知道可以,因为即使没有显示EV绿色栏,您的浏览器也会显示“安全”
  • 您需要添加以下EV扩展名:2.23.140.1.1
  • 您需要添加证书实践声明,扩展名为2.16.840.1.114412.2.1
  • 以及其他一些内容,最好由DigiCert在以下文档的EV栏中进行描述:https://www.digicert.com/wp-content/uploads/2018/01/Certificate-Profiles.pdf

其他一些事情很容易遵守,因为它们要么是DV证书所需的,要么您可以更新openssl配置以添加DV证书不需要的或禁止的那些。

在这些其他内容中,有些是可选的,但以下有关DN的3则不是,因此您必须在主体的DN中添加这些信息。创建CSR时,可以使用openssl添加它们。例如:

openssl req -config openssl-EV.cnf -new -days 365 -pubkey -key key.pem -subj "/businessCategory=Private/serialNumber=5157550/jurisdictionC=US/CN=fenyo.net/O=FenyoNet/C=FR" -nodes > csr.pem

对于EV证书,重要的部分如下:/businessCategory=Private/serialNumber=5157550/jurisdictionC=US

DN中必须存在这3个必需属性(businessCategory,serialNumber和管辖区C)。但是openssl可能不知道businessCategory和管辖区C的OID。因此,像这样填写openssl配置文件的new_oids部分:

[ new_oids ]
businessCategory = 2.5.4.15
jurisdictionC = 1.3.6.1.4.1.311.60.2.1.3

在CSR中拥有这些属性是不够的,因为您拥有自己的CA,并且CA根据CA策略过滤并删除了CN的某些属性。您肯定可以运行类似的操作来对证书进行签名:

openssl ca -verbose -in csr.pem -extensions v3_ca -out newcert.pem -config openssl-EV.cnf

如果您的openssl配置文件不是专门为EV证书设计的,则此步骤肯定会过滤您在CSR的主题DN中添加的其他属性。因此,您必须更改openssl配置文件以将那些属性保留在签名证书中。为此,请在openssl配置文件的CA部分中找到策略字段,例如policy_match,然后转到相应的部分(在此示例中为[policy_match]),然后在此部分中添加以下条目(不要删除此部分中已有的内容):

[ policy_match ]
businessCategory = optional
serialNumber = optional
jurisdictionC = optional

如果在CSR中找到这些属性,这将使“ openssl ca”输出这些属性。

现在,请注意,仅符合《 CA Browser EV准则》 即可。许多浏览器添加了其他需求。例如,《 CA Browser EV指南》验证使用CRL而不是OCSP的EV证书(CA Brower说:如果证书未在AuthorityInformationAccess扩展名中指定OCSP响应者位置,则cRLDistribution Point扩展名必须出现在订户证书中。 )。但是相反,Firefox添加了许多其他规则,包括OCSP响应器的可用性。

Firefox进行了几次测试,以确定服务器的证书是否为有效的EV证书。如果证书通过了这些测试,则Firefox将显示新的EV UI元素。具体来说,该证书必须通过以下所有测试。

来自https://wiki.mozilla.org/CA:EV_Revocation_Checking的这些规则是:

  

除了EV特定测试外,服务器证书还必须通过所有   DV证书所需的测试。证书验证   Firefox 3(NSS加密库)中使用的引擎必须能够   查找从服务器延伸的有效证书链   附带的EV批准的根证书之一的证书   火狐浏览器。服务器证书必须仅包含一项EV策略   扩展(OID)。服务器证书可能包含一个或多个策略   扩展,但不得包含多个EV策略扩展。   中间证书必须隐式或显式允许EV   服务器证书中列出的策略OID。 Firefox 3将测试   使用OCSP协议的吊销状态的服务器证书。的   服务器证书必须包含授权信息访问(AIA)   使用HTTP协议承载OCSP URI的扩展。火狐浏览器   必须能够完成OCSP请求和响应事务   给定的OCSP服务器。 OCSP服务器连接失败时,Firefox   将服务器证书视为对EV无效。这对于   首先在Firefox会话中检查每个服务器证书。火狐浏览器   使用易失性缓存来减少OCSP事务的数量   执行。 Firefox必须能够验证收到的OCSP响应。   该响应必须确认服务器证书未被吊销。 OCSP   必须在应用程序中启用,这是默认配置   由Firefox使用。该选项称为security.ocsp.enabled。在这   Firefox不会按需下载CRL。 OCSP还必须为   中间证书。 失败的OCSP响应将导致   没有提供电动汽车治疗。

因此,要获得绿色指示条,您必须像之前所述更新您的openssl配置,并修改您的CA组织以添加OCSP响应器以及需要将您的服务器识别为EV站点的浏览器所期望的其他功能

对于拥有CA和PKI的人,Mozilla已创建了一个在线站点来检查所有这些EV要求:https://tls-observatory.services.mozilla.com/static/ev-checker.html

在此站点上:

  • 您输入服务器的名称
  • 您输入所选的EV扩展名(通常为2.23.140.1.1)
  • 您以PEM格式输入签署了EV证书的根证书

该站点将进行测试,并告诉您什么是正确的,什么是错误的。 请注意,截至今天(2018年8月2日),该网站非常慢。跳起来很快就会结束。

相关问题
最新问题