On 2025-08-10 12:17, Elias Rudberg via Eleg-projekt wrote:
Sammanfattning av öppet möte 34 om att bygga egen e-leg-lösning, 4 aug 2025:
- Christian skulle göra något med klient-certifikat i p12-format, men
har inte hunnit.
Har jobbat lite mer på detta men när jag drog igång mitt gamla uppsättning hade både root-certifikatet och intermediate-certifikatat gått ut (jag följde guiden i https://codeberg.org/DFRI-eID/dfri-eid/src/branch/main/go-eid-test-ca/README...).
Då genererade jag ett nytt intermediate-certifikat, men det accepterades inte senare av nginx (https://codeberg.org/DFRI-eID/dfri-eid/src/commit/c9fadc574efa79fcbbe3b6e758...) heller då root-certifikatet gått ut. Jag googlade på detta och det verkar vara lite olika tankar om man ska checka root-certets utgångsdatum.
Hursomhelst, så funderade jag lite till på hur detta borde se ut, rätta mig om jag har fel men: 1. root-certet borde ha nästintill oändlig livstid. (låtsas att den är backad av hårdvarutoken) 2. verifierande parter borde endast behöva ha root-certet och inte några intermediate-cert för verifiering. 3. klienten presenterar två certifikat när den ska identifiera sig, sitt eget cert och intermediate-certet. 4. intermediate-cert kan också revokeras i en revokeringslista
Om detta stämmer så ska jag försöka få till detta med .p12 filer :)
/ Christian