Ho qualche domanda sulle estensioni X.509 v3. Quali estensioni dovrebbero apparire in un certificato adeguato per un server SSL?
Ho qualche domanda sulle estensioni X.509 v3. Quali estensioni dovrebbero apparire in un certificato adeguato per un server SSL?
Nessuna estensione è strettamente necessaria nel certificato del server SSL, ma le estensioni alcune possono solo aiutare:
Authority Key Identifier
aiuterà i client a collegare il certificato alla CA di emissione. CRL Distribution Points
(non critica) deve essere utilizzata per puntare all'URL in cui deve essere trovato il CRL. Authority Information Access
può essere utilizzata per includere un puntatore (URL) al certificato per la stessa CA emittente; la stessa estensione può puntare a un risponditore OCSP, se applicabile. Key Usage
, dovrebbe includere alcuni flag: keyAgreement
e keyEncipherment
per chiavi RSA da utilizzare con TLS_RSA_ * pacchetti di crittografia, digitalSignature
per chiavi RSA e DSA da utilizzare con TLS_DHE_ * suite di cifratura (c'è un po 'di confusione sull'opportunità di utilizzare keyAgreement
o keyEncipherment
nel caso di scambio di chiavi basato su RSA, quindi è più sicuro includere entrambi i flag). Subject Alt Name
deve essere utilizzata per indicare il nome del server SSL. In assenza di tale estensione, tutti i browser torneranno al componente CN del subjectDN, ma questa estensione è ancora nominalmente "preferita" (si veda RFC 2818 per i dettagli). Naturalmente, tutte queste estensioni dovrebbero essere applicate dalla CA di emissione, quindi se hai già la CA, non ci dovrebbero essere ulteriori domande qui.
In caso di dubbi, consulta il profilo PKI Internet X.509 . Il profilo definisce ciò che dovresti moralmente seguire. Se ti conformi completamente, i tuoi certificati funzioneranno ovunque. I browser sono in realtà molto più clementi di così.
Leggi altre domande sui tag openssl public-key-infrastructure tls certificates x.509