我正在为运行在Twisted Web和M2Crypto. CA 有它的密钥。其他机器可以发送以 CSR 为主体的 GET 请求。假设事情验证,Helios服务器应该在正文中响应相应的证书。
该应用程序的完整源文件和测试文件在这里:
目前一切正常(通过证书回复的 CSR 请求),除了验证证书:
root@helios:~/helios-ca# openssl verify -CAfile ca.crt test.pem
test.pem: /C=US/ST=California/L=San Francisco/O=Pantheon Systems, Inc./OU=Infrastructure/CN=one.com/emailAddress=support@getpantheon.com
error 7 at 0 depth lookup:certificate signature failure
4280:error:04077068:rsa routines:RSA_verify:bad signature:rsa_sign.c:255:
4280:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:a_verify.c:173:
如果我使用 OpenSSL 从 shell 签署测试证书,事情就会正确验证。Helios 中的签名代码一定有问题。
这是一个相关的问题:
不幸的是,从上一个问题链接的资源都对 CA 和最终证书使用相同的密钥对。由于显而易见的原因,这很愚蠢,并且它使这些示例对现实世界的 PKI 毫无帮助。