Make own intermdiate ca for every server

6 days ago · 934b3f032e
parent ce442bd753
commit 934b3f032e
9 changed files with 222 additions and 158 deletions
--- a/app.rb
+++ b/app.rb
@ -35,17 +35,17 @@ require_relative 'models/userdata'
 require_relative 'classes/cert'
 require_relative 'classes/pagination'

-configure do
-  Dir.mkdir('logs') unless Dir.exist?('logs')
-  unless File.exist?('logs/actions.log')
-    File.new('logs/actions.log', 'w').close
-  end
-  log_file = File.open('logs/actions.log', 'a+')
-  STDOUT.reopen(log_file)
-  STDERR.reopen(log_file)
-  STDOUT.sync = true
-  STDERR.sync = true
-end
+# configure do
+#   Dir.mkdir('logs') unless Dir.exist?('logs')
+#   unless File.exist?('logs/actions.log')
+#     File.new('logs/actions.log', 'w').close
+#   end
+#   log_file = File.open('logs/actions.log', 'a+')
+#   STDOUT.reopen(log_file)
+#   STDERR.reopen(log_file)
+#   STDOUT.sync = true
+#   STDERR.sync = true
+# end

 set :bind, IPBIND
 set :port, PORT
--- a/classes/cert.rb
+++ b/classes/cert.rb
@ -1,6 +1,7 @@
 require 'date'
 require 'zip'
 require 'i18n'
+require 'digest/sha1'
 require_relative 'runner'

 class CertManager
@ -183,13 +184,13 @@ class CertManager
    if cert_item[:is_client]
      files_list << cert_item[:client]
      files_list << "#{@root_ca}/ca/client_certs/#{cert_item[:server_name]}/private/#{cert_item[:client_id]}_private.key.pem"
-      files_list << "#{@root_ca}/ca/intermediate/certs/ca-chain.cert.pem"
+      files_list << "#{@root_ca}/ca/#{cert_item[:server_name]}/certs/ca-chain.cert.pem"
      readme_txt = I18n.t('messages.client_readme', private_key: files_list[1], server_cert: files_list[0], ca_chain: files_list[2])
    else
      files_list << cert_item[:server]
-      files_list << "#{@root_ca}/ca/intermediate/private/#{cert_item[:server_name]}.key.pem"
-      files_list << "#{@root_ca}/ca/intermediate/certs/ca-chain.cert.pem"
-      files_list << "#{@root_ca}/ca/intermediate/crl/ca-full.crl.pem"
+      files_list << "#{@root_ca}/ca/#{cert_item[:server_name]}/private/#{cert_item[:server_name]}.key.pem"
+      files_list << "#{@root_ca}/ca/#{cert_item[:server_name]}/certs/ca-chain.cert.pem"
+      files_list << "#{@root_ca}/ca/#{cert_item[:server_name]}/crl/ca-full.crl.pem"
      readme_txt = I18n.t('messages.server_readme', private_key: files_list[1], server_cert: files_list[0], ca_chain: files_list[2], crl: files_list[3])
    end
    cert_info[:full] = readme_txt
@ -210,7 +211,7 @@ class CertManager

    cert_info[:common] = cmd.stdout

-    cmd_args = %Q(openssl verify -crl_check_all -CAfile "#{@root_ca}/ca/intermediate/certs/ca-chain.cert.pem" -CRLfile "#{@root_ca}/ca/intermediate/crl/ca-full.crl.pem" "#{cert_path}" 2>&1)
+    cmd_args = %Q(openssl verify -crl_check_all -CAfile "#{@root_ca}/ca/#{cert_item[:server_name]}/certs/ca-chain.cert.pem" -CRLfile "#{@root_ca}/ca/#{cert_item[:server_name]}/crl/ca-full.crl.pem" "#{cert_path}" 2>&1)
    cmd = Runner.new(cmd_args)
    cmd.run_clean
    cert_info[:revoke] = cmd.stdout
@ -259,13 +260,13 @@ class CertManager
      if cert_path[:is_client]
        files_list << cert_path[:client]
        files_list << "#{@root_ca}/ca/client_certs/#{cert_path[:server_name]}/private/#{cert_path[:client_id]}_private.key.pem"
-        files_list << "#{@root_ca}/ca/intermediate/certs/ca-chain.cert.pem"
+        files_list << "#{@root_ca}/ca/#{cert_path[:server_name]}/certs/ca-chain.cert.pem"
        readme_txt = I18n.t('messages.client_readme', private_key: File.basename(files_list[1]), server_cert: File.basename(files_list[0]), ca_chain: File.basename(files_list[2]))
      else
        files_list << cert_path[:server]
-        files_list << "#{@root_ca}/ca/intermediate/private/#{cert_path[:server_name]}.key.pem"
-        files_list << "#{@root_ca}/ca/intermediate/certs/ca-chain.cert.pem"
-        files_list << "#{@root_ca}/ca/intermediate/crl/ca-full.crl.pem"
+        files_list << "#{@root_ca}/ca/#{cert_path[:server_name]}/private/#{cert_path[:server_name]}.key.pem"
+        files_list << "#{@root_ca}/ca/#{cert_path[:server_name]}/certs/ca-chain.cert.pem"
+        files_list << "#{@root_ca}/ca/#{cert_path[:server_name]}/crl/ca-full.crl.pem"
        readme_txt = I18n.t('messages.server_readme', private_key: File.basename(files_list[1]), server_cert: File.basename(files_list[0]), ca_chain: File.basename(files_list[2]), crl: File.basename(files_list[3]))
      end
      if files_list.all? { |file| File.exist?(file) }
@ -408,9 +409,9 @@ class CertManager
    end
    sr_name = item[:ui][:CN]
    serv_file = if cl_name.length > 1
-      "#{@root_ca}/ca/intermediate/certs/#{sr_name}.cert.pem.#{cl_name[1]}"
+      "#{@root_ca}/ca/#{sr_name}/certs/#{sr_name}.cert.pem.#{cl_name[1]}"
    else
-      "#{@root_ca}/ca/intermediate/certs/#{sr_name}.cert.pem"
+      "#{@root_ca}/ca/#{sr_name}/certs/#{sr_name}.cert.pem"
    end
    is_client = File.exist?(cert_file)
    seq = if cl_name.length > 1
@ -428,13 +429,29 @@ class CertManager
      return []
    end

-    index_txt_path = "#{@root_ca}/ca/intermediate/index.txt"
+    index_txt_path = "#{@root_ca}/ca/server_certs"
    unless File.exist?(index_txt_path)
-      @error = I18n.t('errors.root_ca_not_detected')
      return []
    end

-    ca_index_txt = File.read(index_txt_path, encoding: 'utf-8').split("\n").each_with_object([]) do |line, entries|
+    # Retrieve names of subdirectories under index_txt_path (without nested dirs)
+    dir_names = Dir.children(index_txt_path).select do |entry|
+      File.directory?(File.join(index_txt_path, entry))
+    end
+
+    # Array to accumulate unique lines from all index.txt files
+    index_txt_entries = []
+
+    dir_names.each do |dir|
+      idx_file = File.join(@root_ca, 'ca', dir, 'index.txt')
+      next unless File.exist?(idx_file)
+      File.read(idx_file, encoding: 'utf-8').each_line do |line|
+        line.chomp!
+        index_txt_entries << line unless index_txt_entries.include?(line)
+      end
+    end
+
+    ca_index_txt = index_txt_entries.each_with_object([]) do |line, entries|
      match = line.split("\t")
      next if match.length != 6

@ -473,6 +490,8 @@ class CertManager
        "#{@root_ca}/ca/client_certs/#{prep[:ui][:CN]}/#{cl_name[0]}.cert.pem"
      end

+      prep[:id] = Digest::SHA1.hexdigest("#{prep[:ui][:CN]}/#{prep[:id]}")
+
      if type == '*'
        entries << prep
      else
--- a/docs/UTILS_EXAMPLES.md
+++ b/docs/UTILS_EXAMPLES.md
@ -19,7 +19,7 @@
 ### Примеры использования:
 1. Генерация серверного сертификата для домена `example1.com` и IP-адреса `192.168.3.145`:
    ```sh
-    bash make_server_cert.sh example1.com 192.168.3.145
+    bash make_server_cert.sh -t 395 example1.com 192.168.3.145
    ```

 ## Утилита `make_client_cert.sh`
@ -39,7 +39,7 @@
 ### Примеры использования:
 1. Отозвать серверный сертификат для домена `brepo.ru`:
    ```sh
-    bash make_server_revoke.sh -n 1 brepo.ru
+    bash make_server_revoke.sh -n 1 -s brepo.ru
    ```

 ## Утилита `make_client_revoke.sh`
--- a/utils/config.sh
+++ b/utils/config.sh
@ -24,5 +24,4 @@ fi

 PATH_TO_CA="$ROOT_DIR/ca"
 ROOT_CA="$PATH_TO_CA/root"
-IMM_CA="$PATH_TO_CA/intermediate"
 CLI_CA="$PATH_TO_CA/client_certs"
--- a/utils/make_client_cert.sh
+++ b/utils/make_client_cert.sh
@ -64,6 +64,8 @@ pushd $PATH_TO_CA || {
    exit 1
 }

+IMM_CA="$PATH_TO_CA/$server"
+
 mkdir -p client_certs

 pushd client_certs || {
--- a/utils/make_client_revoke.sh
+++ b/utils/make_client_revoke.sh
@ -58,6 +58,8 @@ if [ ! -e "$CLI_CA/$server/${client}_csr_req.cnf" ]; then
    exit 1
 fi

+IMM_CA="$PATH_TO_CA/$server"
+
 pushd "$IMM_CA" || {
    msg "Ошибка: не удалось перейти в каталог $IMM_CA" "Error: Could not change directory to $IMM_CA" >&2
    cd "$CURRENT_DIR" || exit 1
--- a/utils/make_server_cert.sh
+++ b/utils/make_server_cert.sh
@ -14,6 +14,23 @@ else
    LANG_RU=0
 fi

+# Detect language and define error function
+LANGUAGE="en"
+if [[ "$LANG" == ru* || "$LANG" == *ru_* || "$LC_ALL" == ru* || "$LC_ALL" == *ru_* ]]; then
+    LANGUAGE="ru"
+fi
+
+msg() {
+    local en_msg="$1"
+    local ru_msg="$2"
+    if [[ "$LANGUAGE" == "ru" ]]; then
+        echo "$ru_msg"
+    else
+        echo "$en_msg"
+    fi
+    exit 1
+}
+
 # Handle -h option for help message
 if [ "$1" == "-h" ]; then
    if [ "$LANG_RU" -eq 1 ]; then
@ -69,10 +86,6 @@ CERT_DAYS=${CERT_DAYS:-3650}

 pushd $PATH_TO_CA || exit

-mkdir -p server_certs
-
-pushd server_certs || exit
-
 # Проверка, предоставлен ли первый параметр и не пуст ли он
 if [ -z "$1" ]; then
    if [ "$LANG_RU" -eq 1 ]; then
@ -94,7 +107,6 @@ if [ "${#items[@]}" -eq 0 ]; then
        echo "No elements found in the input"
    fi
    popd || exit
-    popd || exit
    exit 0
 fi

@ -103,6 +115,157 @@ SEQ="1"
 # Извлечение первого элемента списка
 fst_elem="${items[0]}"

+IMM_CA="$PATH_TO_CA/$fst_elem"
+
+# Создаем промежуточный CA
+if [ ! -d "$IMM_CA" ]; then
+
+    # Список каталогов, для которых создается структура
+    DIRECTORIES=("$fst_elem")
+
+    # Создание необходимых директорий и настройка их прав доступа
+    for dir in "${DIRECTORIES[@]}"; do
+        # Создание поддиректорий в каждой директории из списка
+        mkdir -p "$dir/certs" "$dir/crl" "$dir/newcerts" "$dir/private" "$dir/csr"
+        chmod 700 "$dir/private"
+
+        # Создание файлов базы CA
+        touch "$dir/index.txt"
+        echo -n 100000 >"$dir/serial"
+
+        # Настройка файла для CRL (список отозванных сертификатов)
+        echo -n 100000 >"$dir/crlnumber"
+    done
+
+    cat >$IMM_CA/immissuer.conf <<EOL
+[ca]
+default_ca=CA_default
+
+[CA_default]
+dir               = $IMM_CA
+certs             = \$dir/certs
+crl_dir           = \$dir/crl
+database          = \$dir/index.txt
+new_certs_dir     = \$dir/newcerts
+serial            = \$dir/serial
+
+certificate       = \$dir/certs/intermediate.cert.pem
+private_key       = \$dir/private/intermediate.key.pem
+crlnumber         = \$dir/crlnumber
+crl               = \$dir/crl/intermediate.crl.pem
+crl_extensions    = crl_ext
+default_crl_days  = 7
+
+default_md        = sha256
+name_opt          = ca_default
+cert_opt          = ca_default
+default_days      = 825
+preserve          = no
+policy            = policy_loose
+
+[policy_loose]
+countryName             = optional
+stateOrProvinceName     = optional
+localityName            = optional
+organizationName        = optional
+organizationalUnitName  = optional
+commonName              = supplied
+emailAddress            = optional
+
+[req]
+default_bits        = 4096
+default_md          = sha256
+default_keyfile     = privkey.pem
+distinguished_name  = req_distinguished_name
+string_mask         = utf8only
+x509_extensions     = v3_intermediate_ca
+prompt              = no
+
+[req_distinguished_name]
+countryName                     = $COUNTRY_NAME
+organizationName                = $ORG_NAME
+commonName                      = $fst_elem
+
+[v3_intermediate_ca]
+subjectKeyIdentifier = hash
+authorityKeyIdentifier = keyid:always,issuer
+basicConstraints = critical, CA:true, pathlen:0
+keyUsage = critical, keyCertSign, cRLSign
+
+[server_cert]
+basicConstraints = CA:false
+nsCertType = server
+nsComment = "$COMM_NAME TLS server cert"
+subjectKeyIdentifier = hash
+authorityKeyIdentifier = keyid,issuer
+keyUsage = critical, digitalSignature, keyEncipherment
+extendedKeyUsage = serverAuth
+
+[client_cert]
+basicConstraints = CA:false
+nsCertType = client
+nsComment = "Brepo client cert"
+subjectKeyIdentifier = hash
+authorityKeyIdentifier = keyid,issuer
+keyUsage = critical, digitalSignature, keyEncipherment
+extendedKeyUsage = clientAuth
+
+[crl_ext]
+authorityKeyIdentifier = keyid:always
+EOL
+
+    # Перейти в директорию промежуточного ЦА или выйти с ошибкой, если это не удалось
+    pushd "$IMM_CA" || { msg "Error: Failed to change directory to $IMM_CA" "Ошибка: Не удалось перейти в каталог $IMM_CA"; }
+
+    # Генерация RSA ключа для промежуточного ЦА с шифрованием AES-256
+    openssl genrsa -aes256 -out private/intermediate.key.pem -passout "pass:$SERT_PASS" 4096 || { msg "Error: Failed to generate RSA key for intermediate CA" "Ошибка: Не удалось создать RSA‑ключ для промежуточного ЦА"; }
+
+    # Установка прав доступа для ключа промежуточного ЦА
+    chmod 400 private/intermediate.key.pem
+
+    # Создание CSR для промежуточного ЦА
+    openssl req -config immissuer.conf -new -sha256 -key private/intermediate.key.pem -out csr/intermediate.csr.pem -passin "pass:$SERT_PASS" || { msg "Error: Failed to create CSR for intermediate CA" "Ошибка: Не удалось создать запрос на сертификат для промежуточного ЦА"; }
+
+    # Вернуться в исходную директорию или выйти с ошибкой, если это не удалось
+    popd || { msg "Can't return to old directory" "Невозможно вернуться к старому каталогу"; }
+
+    # Перейти в директорию корневого ЦА или выйти с ошибкой, если это не удалось
+    pushd "$ROOT_CA" || { msg "Error: Failed to change directory to $ROOT_CA" "Ошибка: Не удалось перейти в каталог $ROOT_CA"; }
+
+    # Подпись сертификата промежуточного ЦА корневым ЦА
+    openssl ca -batch -config sertissuer.conf -extensions v3_inter -days 3550 -notext -md sha256 -in $IMM_CA/csr/intermediate.csr.pem -out $IMM_CA/certs/intermediate.cert.pem -passin "pass:$SERT_PASS" || { msg "Error: Failed to sign intermediate CA certificate" "Ошибка: Не удалось подписать сертификат промежуточного ЦА корневым ЦА"; }
+
+    # Установка прав доступа для сертификата промежуточного ЦА
+    chmod 444 "$IMM_CA/certs/intermediate.cert.pem"
+
+    openssl ca -config "sertissuer.conf" -gencrl -out crl/ca.crl.pem -passin "pass:$SERT_PASS"
+
+    # Вернуться в исходную директорию или выйти с ошибкой, если это не удалось
+    popd || { msg "Can't return to old directory" "Невозможно вернуться к старому каталогу"; }
+
+    # Перейти в директорию промежуточного ЦА или выйти с ошибкой, если это не удалось
+    pushd "$IMM_CA" || { msg "Error: Failed to change directory to $IMM_CA" "Ошибка: Не удалось перейти в каталог $IMM_CA"; }
+
+    openssl ca -config "immissuer.conf" -gencrl -out crl/intermediate.crl.pem -passin "pass:$SERT_PASS"
+
+    cat $ROOT_CA/crl/ca.crl.pem "$IMM_CA/crl/intermediate.crl.pem" >"$IMM_CA/crl/ca-full.crl.pem"
+
+    # Вернуться в исходную директорию или выйти с ошибкой, если это не удалось
+    popd || { msg "Can't return to old directory" "Невозможно вернуться к старому каталогу"; }
+
+    # Создание цепочки сертификатов
+    cat "$IMM_CA/certs/intermediate.cert.pem" "$ROOT_CA/certs/ca.cert.pem" >"$IMM_CA/certs/ca-chain.cert.pem" || { msg "Error: Failed to create CA chain certificate" "Ошибка: Не удалось создать цепочку сертификатов ЦА"; }
+
+    # Проверка сертификата промежуточного ЦА с использованием корневого центра сертификации
+    openssl verify -CAfile "$ROOT_CA/certs/ca.cert.pem" "$IMM_CA/certs/intermediate.cert.pem" || { msg "Error: Failed to verify intermediate CA certificate" "Ошибка: Не удалось проверить сертификат промежуточного ЦА"; }
+
+fi
+# Конец создания промежуточного CA
+
+mkdir -p server_certs
+
+pushd server_certs || exit
+
 # Создание директории с именем первого элемента, если она не существует
 mkdir -p "$fst_elem" || true

--- a/utils/make_server_revoke.sh
+++ b/utils/make_server_revoke.sh
@ -52,6 +52,8 @@ if [ ! -e "$PATH_TO_CA/server_certs/$server" ]; then
    exit 1
 fi

+IMM_CA="$PATH_TO_CA/$server"
+
 pushd "$IMM_CA" || {
    msg "Error: Could not change directory to $IMM_CA" "Ошибка: Не удалось перейти в каталог $IMM_CA" >&2
    cd "$CURRENT_DIR" || exit 1
--- a/utils/prepare.sh
+++ b/utils/prepare.sh
@ -51,7 +51,7 @@ fi
 cd "$PATH_TO_CA" || { msg "Error: Failed to change directory to $PATH_TO_CA" "Ошибка: Не удалось перейти в каталог $PATH_TO_CA"; }

 # Список каталогов, для которых создается структура
-DIRECTORIES=("root" "intermediate")
+DIRECTORIES=("root")

 # Создание необходимых директорий и настройка их прав доступа
 for dir in "${DIRECTORIES[@]}"; do
@ -114,7 +114,7 @@ prompt              = no
 [req_distinguished_name]
 countryName                     = $COUNTRY_NAME
 organizationName                = $ORG_NAME
-commonName                      = $ORG_NAME
+commonName                      = $COMM_NAME

 [v3_ca]
 subjectKeyIdentifier = hash
@ -153,127 +153,4 @@ openssl x509 -noout -text -in certs/ca.cert.pem || { msg "Error: Failed to displ
 # Вернуться в исходную директорию или выйти с ошибкой, если это не удалось
 popd || { msg "Can't return to old directory" "Невозможно вернуться к старому каталогу"; }

-# Создание конфигурационного файла для промежуточного ЦА
-cat >intermediate/immissuer.conf <<EOL
-[ca]
-default_ca=CA_default
-
-[CA_default]
-dir               = $IMM_CA
-certs             = \$dir/certs
-crl_dir           = \$dir/crl
-database          = \$dir/index.txt
-new_certs_dir     = \$dir/newcerts
-serial            = \$dir/serial
-
-certificate       = \$dir/certs/intermediate.cert.pem
-private_key       = \$dir/private/intermediate.key.pem
-crlnumber         = \$dir/crlnumber
-crl               = \$dir/crl/intermediate.crl.pem
-crl_extensions    = crl_ext
-default_crl_days  = 7
-
-default_md        = sha256
-name_opt          = ca_default
-cert_opt          = ca_default
-default_days      = 825
-preserve          = no
-policy            = policy_loose
-
-[policy_loose]
-countryName             = optional
-stateOrProvinceName     = optional
-localityName            = optional
-organizationName        = optional
-organizationalUnitName  = optional
-commonName              = supplied
-emailAddress            = optional
-
-[req]
-default_bits        = 4096
-default_md          = sha256
-default_keyfile     = privkey.pem
-distinguished_name  = req_distinguished_name
-string_mask         = utf8only
-x509_extensions     = v3_intermediate_ca
-prompt              = no
-
-[req_distinguished_name]
-countryName                     = $COUNTRY_NAME
-organizationName                = $ORG_NAME
-commonName                      = $ORG_NAME
-
-[v3_intermediate_ca]
-subjectKeyIdentifier = hash
-authorityKeyIdentifier = keyid:always,issuer
-basicConstraints = critical, CA:true, pathlen:0
-keyUsage = critical, keyCertSign, cRLSign
-
-[server_cert]
-basicConstraints = CA:false
-nsCertType = server
-nsComment = "$COMM_NAME TLS server cert"
-subjectKeyIdentifier = hash
-authorityKeyIdentifier = keyid,issuer
-keyUsage = critical, digitalSignature, keyEncipherment
-extendedKeyUsage = serverAuth
-
-[client_cert]
-basicConstraints = CA:false
-nsCertType = client
-nsComment = "Brepo client cert"
-subjectKeyIdentifier = hash
-authorityKeyIdentifier = keyid,issuer
-keyUsage = critical, digitalSignature, keyEncipherment
-extendedKeyUsage = clientAuth
-
-[crl_ext]
-authorityKeyIdentifier = keyid:always
-EOL
-
-# Перейти в директорию промежуточного ЦА или выйти с ошибкой, если это не удалось
-pushd "$IMM_CA" || { msg "Error: Failed to change directory to $IMM_CA" "Ошибка: Не удалось перейти в каталог $IMM_CA"; }
-
-# Генерация RSA ключа для промежуточного ЦА с шифрованием AES-256
-openssl genrsa -aes256 -out private/intermediate.key.pem -passout "pass:$SERT_PASS" 4096 || { msg "Error: Failed to generate RSA key for intermediate CA" "Ошибка: Не удалось создать RSA‑ключ для промежуточного ЦА"; }
-
-# Установка прав доступа для ключа промежуточного ЦА
-chmod 400 private/intermediate.key.pem
-
-# Создание CSR для промежуточного ЦА
-openssl req -config immissuer.conf -new -sha256 -key private/intermediate.key.pem -out csr/intermediate.csr.pem -passin "pass:$SERT_PASS" || { msg "Error: Failed to create CSR for intermediate CA" "Ошибка: Не удалось создать запрос на сертификат для промежуточного ЦА"; }
-
-# Вернуться в исходную директорию или выйти с ошибкой, если это не удалось
-popd || { msg "Can't return to old directory" "Невозможно вернуться к старому каталогу"; }
-
-# Перейти в директорию корневого ЦА или выйти с ошибкой, если это не удалось
-pushd "$ROOT_CA" || { msg "Error: Failed to change directory to $ROOT_CA" "Ошибка: Не удалось перейти в каталог $ROOT_CA"; }
-
-# Подпись сертификата промежуточного ЦА корневым ЦА
-openssl ca -batch -config sertissuer.conf -extensions v3_inter -days 3550 -notext -md sha256 -in $IMM_CA/csr/intermediate.csr.pem -out $IMM_CA/certs/intermediate.cert.pem -passin "pass:$SERT_PASS" || { msg "Error: Failed to sign intermediate CA certificate" "Ошибка: Не удалось подписать сертификат промежуточного ЦА корневым ЦА"; }
-
-# Установка прав доступа для сертификата промежуточного ЦА
-chmod 444 $IMM_CA/certs/intermediate.cert.pem
-
-openssl ca -config "sertissuer.conf" -gencrl -out crl/ca.crl.pem -passin "pass:$SERT_PASS"
-
-# Вернуться в исходную директорию или выйти с ошибкой, если это не удалось
-popd || { msg "Can't return to old directory" "Невозможно вернуться к старому каталогу"; }
-
-# Перейти в директорию промежуточного ЦА или выйти с ошибкой, если это не удалось
-pushd "$IMM_CA" || { msg "Error: Failed to change directory to $IMM_CA" "Ошибка: Не удалось перейти в каталог $IMM_CA"; }
-
-openssl ca -config "immissuer.conf" -gencrl -out crl/intermediate.crl.pem -passin "pass:$SERT_PASS"
-
-cat $ROOT_CA/crl/ca.crl.pem $IMM_CA/crl/intermediate.crl.pem >$IMM_CA/crl/ca-full.crl.pem
-
-# Вернуться в исходную директорию или выйти с ошибкой, если это не удалось
-popd || { msg "Can't return to old directory" "Невозможно вернуться к старому каталогу"; }
-
-# Создание цепочки сертификатов
-cat "$IMM_CA/certs/intermediate.cert.pem" "$ROOT_CA/certs/ca.cert.pem" >"$IMM_CA/certs/ca-chain.cert.pem" || { msg "Error: Failed to create CA chain certificate" "Ошибка: Не удалось создать цепочку сертификатов ЦА"; }
-
-# Проверка сертификата промежуточного ЦА с использованием корневого центра сертификации
-openssl verify -CAfile $ROOT_CA/certs/ca.cert.pem $IMM_CA/certs/intermediate.cert.pem || { msg "Error: Failed to verify intermediate CA certificate" "Ошибка: Не удалось проверить сертификат промежуточного ЦА"; }
-
 exit 0