StrongswanPKI - 向证书添加 status_request 或 MustStaple TLS 扩展?

tag-icon tag-icon certificate certificate-authority strongswan pki ocsp
StrongswanPKI - 向证书添加 status_request 或 MustStaple TLS 扩展?

使用 strongswan 的 PKI 工具设置 CA。尝试设置 OCSP 方面遇到了很多问题,正如我发布的另一篇帖子所述(Strongswan PKI - ED25519 证书 - OCSP 响应器存在问题)。现在我正在研究如何添加装订。

有没有办法使用 strongswan pki 创建使用 MustStaple 扩展的证书,或者最新的 openssl 引用它的 status_request?

我似乎找不到相关文档或任何信息。甚至找不到如何使用 strongswan pki 向证书添加扩展。

答案1

您所提到的 X.509 扩展实际上被称为“TLS 功能扩展”,定义在RFC 7633。如果定义,它包含一个列表TLS 扩展标识符其中一个可能是status_request。因此,它对于 TLS 来说是相当特定的。

同样,OCSP 装订是 TLS 的一个功能(通过其证书状态请求扩展定义在RFC 6066),所以它不能直接适用于IKEv2。

不过,在RFC 4806,允许在 IKEv2 身份验证期间交换 OCSP 响应。strongSwan目前不支持, 尽管。

由于这些原因,该扩展目前与 strongSwan 无关,这就是为什么pki 工具不提供对此的支持。

相关内容