<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 30, 2016 at 5:11 PM, Matt Caswell <span dir="ltr"><<a href="mailto:matt@openssl.org" target="_blank">matt@openssl.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
On 30/06/16 16:54, Salz, Rich wrote:<br>
>> Since X25519 is not the first "encrypt-only" algorithm in the<br>
>> OpenSSL universe, how was requesting certificates handled for<br>
>> such algorithms in the past?<br>
><br>
> It wasn't.<br>
><br>
>> For example how would one request a DH certificate?<br>
><br>
> You couldn't.<br>
><br>
> I don't recall anyone ever asking for such a thing on the public lists.<br>
><br>
<br>
</span>There is no standardised way of requesting a DH certificate that I know of.<br>
<br>
Nonetheless OpenSSL does support the generation of DH certificates, but<br>
it's a bit nasty:<br>
<br>
<a href="https://security.stackexchange.com/questions/44251/openssl-generate-different-types-of-self-signed-certificate/82868#82868" rel="noreferrer" target="_blank">https://security.stackexchange.com/questions/44251/openssl-generate-different-types-of-self-signed-certificate/82868#82868</a><br>
<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br></div><div><br></div><div>That seems to be exactly what I was looking for! So create a bogus RSA cert and create its self-signed certificate request. But then use the -force_pubkey flag to substitute my own X25519 public key for the RSA public key, just prior to getting it signed by the CA.</div><div><br></div><div>Reminds me of the cuckoo..</div><div><br></div><div>I would worry about the damage that could be done if -force_pubkey fell into the wrong hands :)</div><div><br></div><div>Thanks!</div><div><br></div><div><br></div><div>Mike </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="HOEnZb"><font color="#888888">
Matt<br>
</font></span><div class="HOEnZb"><div class="h5">--<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</div></div></blockquote></div><br></div></div>