Microsec ECDSA privat kulcs...

Linux-haladó

Sziasztok,

a Microsec kitalalta, hogy ECDSA privat kulcsot fogad kizárólag el tanusítvány igénylésnél, ezzel nincs is semmi baj, ha ismerném, eddig mindig RSA -aztam...

Most kitallitottak a tanusitvanyt es halvany sejtelmem sincs, hogy kene ebbol pfx -et gyartani, ott a kulcs, a cert de az eddig parancs kapufa...

A lenti alapjan csinaltam a request -et:

https://www.microsec.hu/hu/pki-blog/hogyan-keszitsunk-pkcs10-csr-t

 

Koszi!

  • 899 megtekintés

( godot v | 2023. 07. 21., p – 10:42 )

Szerkesztve: 2023. 07. 21., p – 10:45

HA jól értem megvan a kiállított cert és a kulcs már PEM-ben:

https://www.ssl.com/how-to/create-a-pfx-p12-certificate-file-using-open…

Zanzásítva:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile more.crt

A more.crt-t csak akkor kell megadni ha a CA -kat is bele akarod pakolni a PFX-be. A subCA-t általában bele szokták akarni... :)

jól érted, csak éppen nem RSA kulcs van, hanem EC, tehát a kulcs így került generálásra:

openssl ecparam –out key.pem –genkey –name prime256v1

majd a request:

openssl req –new –key key.pem –sha256 –out certificaterequest.pem

és most az általad írt parancs ugye elhasal mert szegény nem azt kapja amit vár:

No certificate matches private key

FBK

( NevemTeve | 2023. 07. 21., p – 10:56 )

Szerkesztve: 2023. 07. 21., p – 11:16

> No certificate matches private key

No, most láttam, hogy hibaüzenet is van. Azt jelenti, hogy a csr-t nem ezzel a kulccsal csináltad.

Szerk: a kulcs-generáló parancsod jó, csak az utf8 csodáinak hála a dash szimboleum helyett valami más került a szövegbe, amikor próbáltam. Egy másik parancs ugyanerre:

openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out key.pem

rohadtul nem, de ezek utan kivancsi leszek mit mond erre a Microsec, mert itt valami nagyon el lett b@szva és mivel én azóta sem nyúltam azokhoz a file -okhoz amiket akkor legeneráltam a request igénylésekor, így ha minden igaz nem én vagyok a hülye, bár ez a lehetőség sincs kizárva :P

FBK

( NevemTeve | 2023. 07. 21., p – 11:23 )

Össze lehetne nézni a publikus kulcsokat a privát-kulcsból, a csr-ből, meg a cert-ből, hogy hány egyezés van.


openssl pkey -pubout -in ec_key.pem
openssl req -in csr.pem -noout -pubkey
openssl x509 -in cert.pem -noout -pubkey

( mauzi v | 2025. 06. 13., p – 15:54 )

Szerkesztve: 2025. 06. 13., p – 16:21

a Microsec kitalalta, hogy ECDSA privat kulcsot fogad kizárólag el tanusítvány igénylésnél

Ez önmagában nagyon helyes, és lásd az ide vonatkozó direktívákat, csak majd akkor fogsz nagyot nézni, amikor az általad használt alkalmazás véletlenül nem tud még 2025-ben sem ECDSA-t kezelni. (Nekem van egy csinos kis táblázatom az általunk használt csillió szoftverről, ami tanúsítványokat használ, és úgy kb. a 15-20%-a nem eszik ECDSA-t.)