Регистрация сертификата с использованием ключа ecc - PullRequest
0 голосов
/ 22 февраля 2019

создал все файлы csr, .key и .pem, используя ключ ecc размером 256, получая следующую ошибку при попытке регистрации

./sscep enroll -u http://192.168.1.157/certsrv/mscep/mscep.dll -k private.key -r enroll.csr -l client.crt -c ca.pem-0 -e ca.pem-1 -O MyClient1.pem -K MyClient1.key -v
./sscep: starting sscep, version 0.6.1
./sscep: new transaction
./sscep: transaction id: D41D8CD98F00B204E9800998ECF8427E
./sscep: hostname: 192.168.1.157
./sscep: directory: certsrv/mscep/mscep.dll
./sscep: port: 80
./sscep: Read request with transaction id: 20E9B0F702CF51A8D7650CF1A7229CA5
./sscep: SCEP_OPERATION_ENROLL
./sscep: sending certificate request
./sscep: creating inner PKCS#7
./sscep: inner PKCS#7 in mem BIO
./sscep: request data dump
----BEGIN CERTIFICATE REQUEST----
MIHmMIGOAgEAMA4xDDAKBgNVBAMTA3NyaTBWMBAGByqGSM49AgEGBSuBBAAKA0IA
BJgIOmdRvePpEp9wXDrfiR8t2Q/mgdg13G1daBB487w5yZ7KOiEB+Fu4Qzv2X1fW
P6IbrVRayhjYsiAnN+cpDK2gITAfBgkqhkiG9w0BCQcxEhMQNDNDMEVBNjU3RDEx
NjI0MjAKBggqhkjOPQQDAgNHADBEAiAA2pTl52EWKwl/jMqsHHJ8FxR/pL5C17oe
xyrNRAxl7QIgP3tSdIesv9lF+NaqReNGR67sBzuklciBEePezXfCuKk=
----END CERTIFICATE REQUEST----
./sscep: data payload size: 233 bytes
./sscep: successfully encrypted payload
./sscep: envelope size: 698 bytes
./sscep: creating outer PKCS#7
./sscep: error adding PKCS#7 signature
1073771664:error:21081093:PKCS7 routines:PKCS7_SIGNER_INFO_set:signing ctrl failure:pk7_lib.c:391:

Не уверен в возможной причине этой ошибки. Я использовал следующие команды для созданияключи и сертификаты, которые я использую здесь.

./openssl ecparam -name secp256k1 -genkey -noout -out private.pem

./openssl ecparam -name secp256k1 -genkey -noout -out MyRootCA.key
./openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem

./openssl ecparam -name secp256k1 -genkey -noout -out MyClient1.key
./openssl req -new -key MyClient1.key -out MyClient1.csr
./openssl x509 -req -in MyClient1.csr -CA MyRootCA.pem -CAkey MyRootCA.key -CAcreateserial -out MyClient1.pem -days 1024 -sha256
./openssl req -config scep.cnf -new -key private.pem -out enroll.csr

1 Ответ

0 голосов
/ 03 июля 2019

Насколько я понимаю, вы использовали только ключи ECC для создания вашего запроса SCEP, но ECC нельзя использовать в PKCS # 7.Вам нужны ключи RSA для шифрования вашего сообщения.

См. https://access.redhat.com/documentation/en-us/red_hat_certificate_system/9/html/administration_guide/enrolling_a_certificate_in_a_cisco_router#issuing-ecc-certificates-with-scep

...