Hello all,<br><br>lately i am facing problems with Certification Authorities.<br>I have used centos script /etc/pki/tls/misc/CA my own certificate authority. In next steps i am generating requests for certificates to services such as LDAP,NNRPD and lately signing requests with CA. My approach is to import my own CA into Windows Vista OS as root CA and trusted, to avoid messages in clients such as "certificate could not be verified, certificate is not signed or cerficate authority cannot be verified".<br>
<br>When i asked for help at openssl mailinglist i have recieved interesting answer :<br><br><blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" class="gmail_quote">
<font size="2">Just make sure your certificate is actually one "son" of your CA.</font><br><br><font size="2">
It is right To make one CA cert with the 509 extensions set to CA</font><br><font size="2">
    X509v3 Basic Constraints:</font><br><font size="2">
                CA:TRUE</font><br><font size="2">
            X509v3 Key Usage:</font><br><font size="2">
                Certificate Sign, CRL Sign</font><br><font size="2">
            Netscape Cert Type:</font><br><font size="2">
                SSL CA, S/MIME CA</font><br><br><font size="2">
But it is a mistake to make the "son" as ANOTHER SELF SIGNED cert with those</font><br><font size="2">
extensions not set as CA</font><br><font size="2">
     X509v3 extensions:</font><br><font size="2">
            X509v3 Basic Constraints:</font><br><font size="2">
                CA:FALSE</font><br><font size="2">
            Netscape Cert Type:</font><br><font size="2">
                SSL Client, SSL Server, S/MIME, Object Signing</font><br><font size="2">
            X509v3 Key Usage:</font><br><font size="2">
                Digital Signature, Non Repudiation, Key Encipherment</font><br><font size="2">
            Netscape Comment:</font><br><br><font size="2">
I know of important companies doing this mistake.</font><br><font size="2">
The second cert has to be one SIGNED by the first CA authority, not a</font><br><font size="2">
selfsigned one with CA fields "off" of false.</font><br><font size="2">
Said in other words: the second cert is the result or output of a CSR</font><br><font size="2">
(certificate signing request) signed by the CA cert.</font></blockquote><div><br>Yes, that is true, so why this is not so in case of  /etc/pki/tls/misc/CA . All my generated server certificates signed with own CA, using this script have :<br>
<br><blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" class="gmail_quote">X509v3 extensions:<br>            X509v3 Basic Constraints: <br>                CA:FALSE<br>
            Netscape Comment: <br>                OpenSSL Generated Certificate<br>            X509v3 Subject Key Identifier: <br>                CC:FC:A1:2D:DE:CD:D1:9E:34:F3:89:08:F9:D6:30:79:AF:EE:6B:94<br>            X509v3 Authority Key Identifier: <br>
                keyid:C7:B9:B0:BC:5A:A2:73:18:02:F2:80:E2:8A:0C:BC:58:0C:87:14:95</blockquote><div><br>Thanks in advance!<br><br>DAVID<br></div><br></div>