<div dir="ltr">Hi Yingdi,<div><br></div><div>My question is that how to sign a cert with the root cert generated by another host.<br><div><br></div><div>Here is my security model</div><div><br></div><div>root---------site1----------router1</div><div>   |-----------site2----------router2</div><div><br></div><div>I installed certificates of root, site1 and router1 in host1.</div><div>used ndnsec cert-dump to dump certificate of root in a file.</div><div>The I transferred this certificate file into another machine and used ndnsec cert-install to install the certificate.</div><div>All above works well.</div><div>Then </div><div>$ ndnsec-certgen -N /root/site2 -s /root site2-cert.req | ndnsec-cert-install -<br></div><div><br></div><div>It shows “ERROR: private key doesn't exists”</div><div><br></div><div>-----</div><div>Shuo Chen</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 20, 2014 at 2:23 AM, Yingdi Yu <span dir="ltr"><<a href="mailto:yingdi@cs.ucla.edu" target="_blank">yingdi@cs.ucla.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><br><div><span class=""><blockquote type="cite"><div>On Nov 19, 2014, at 10:13 AM, Junxiao Shi <<a href="mailto:shijunxiao@email.arizona.edu" target="_blank">shijunxiao@email.arizona.edu</a>> wrote:</div><br><div><div dir="ltr">Dear folks<div><br></div><div>While we are able to request testbed certificates from ndncert website, when doing experiments, it's undesirable to request testbed certificates for all nodes.</div><div>Suppose someone wants to start a certificate chain from scratch, how could this be done?</div></div></div></blockquote><div><br></div></span><div>Just to clarify, the scenario you describe is a trust model for the ndncert only. For apps that just want to use simple trust model, it is not necessary to create so many keys.</div><span class=""><br><blockquote type="cite"><div><div dir="ltr"><div><br></div><div>Specifically, what are the commands to:</div><div><ol><li>generate a root certificate: /example/KEY/ksk-1/ID-CERT</li><li>generate a site certificate and sign it by root certificate: /example/KEY/site1/ksk-2/ID-CERT</li><li>generate a user certificate and sign it by site certificate: /example/site1/KEY/user1/ksk-3/ID-CERT</li><li>publish root, site, user certificate in a repository or ndns system</li><li>generate a data signing certificate and sign it by user certificate: /example/site1/user1/KEY/dsk-4/ID-CERT</li></ol></div><div><br></div><div>Another question is: why is testbed root certificate named /ndn/KEY/ksk-xxxx/ID-CERT, instead of /KEY/ndn/ksk-xxxx/ID-CERT</div></div></div></blockquote><div><br></div></span>Because the root of the testbed is "/ndn" rather than "/", and testbed publish its root cert under its own prefix.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>Yingdi</div><br></font></span></div><br>_______________________________________________<br>
Nfd-dev mailing list<br>
<a href="mailto:Nfd-dev@lists.cs.ucla.edu">Nfd-dev@lists.cs.ucla.edu</a><br>
<a href="http://www.lists.cs.ucla.edu/mailman/listinfo/nfd-dev" target="_blank">http://www.lists.cs.ucla.edu/mailman/listinfo/nfd-dev</a><br>
<br></blockquote></div><br></div>