Zápasím s OpenSSL v roli malé CA.
Problém je, že se mi nezapisují certifikáty do databáze vystavených, do index.txt se zapsal pouze certifikát CA a pak každý revokovaný.
Tuším, že je to modulem openssl x509 který používám místo openssl ca a to takto:
# generuj
openssl genrsa -out "$CADIR/certs/$CERTNAME-priv.pem" 4096
# zadost
openssl req -new -sha512 -subj "/CN=$CNAME" -key "$CADIR/certs/$CERTNAME-priv.pem" -out "$CADIR/certs/$CERTNAME.csr"
# podepsat
openssl x509 -req -sha512 -days 3650 -in "$CADIR/certs/$CERTNAME.csr" -CAkey "$CADIR/private/cakey.pem" -CA "$CADIR/cacert.pem" -out "$CADIR/certs/$CERTNAME.pem" -extfile "$CADIR/$CERTNAME.cnf
# konverze
openssl x509 -inform PEM -outform DER -in "$CADIR/certs/$CERTNAME.pem" -out "$CADIR/certs/$CERTNAME.crt"
V extfile jsou AltNames, nezbytnost pro Chrome, Edge atd...
Otázka tedy je - má, nebo nemá tento způsob podepisování certifikátu přidávat záznam do index.txt? V manuálu o tom zmínka není, pouze v manuálu k openssl ca, takže hádám, že nemá.
Pokud se x509 aktualizovat index.txt nemá, jak správně podepíšu certifikát s použitím openssl ca abych zároveň mohl podstrčit AltNames v násl. formě?
subjectAltName=DNS:tricetpet.local,DNS:tricetpet,IP:192.168.0.35
Příp. mohu nějak zařadit existující známý existující certifikát vystavený mou CA do index.txt dodatečně? Resp. přidat jinak, než že ho tam vepíšu ručně podle údajů vytažených z certifikátu v DER formě...