Tipi di certificati SSL e utilizzo dei tasti

6

Desidero utilizzare OpenSSL per creare un CSR e inviarlo alla mia CA (che utilizza Microsoft PKI) e ricevere certificati che possono essere utilizzati sia per Auth del server che per Auth del client. Non sono chiaro su un paio di cose, che potrebbero essere semplicemente un collegamento tra keyUsage e nsCertType .

  1. È abbastanza per me includere nella CSR keyUsage = digitalSignature, keyEncipherment e extendedKeyUsage = serverAuth, clientAuth ?
  2. La CA di firma può scegliere di ignorare questi attributi richiesti e     concedimi solo l'utilizzo dell'autenticazione del server?
  3. È nsCertType utilizzato per richieste (es. CSR) o solo quando OpenSSL è     usato per firmare certs?

Saluti, Mike

    
posta Mike 05.04.2013 - 22:06
fonte

1 risposta

6

nsCertType è una vecchia estensione specifica di Netscape, che è stata utilizzata dal browser Netscape in un momento in cui quel browser era ancora attivo. Puoi dimenticarlo al giorno d'oggi.

La firma CA, in linea di principio, agisce in qualsiasi modo a suo piacimento. Può mettere tutto ciò che desidera nel tuo certificato. La tua richiesta di certificato è solo un suggerimento . Puoi più o meno contare sulla CA per prendere la chiave pubblica dalla tua richiesta e usare quella chiave pubblica nel certificato; per tutto meno (incluso nome, usi chiave e altre estensioni) questo dipende completamente dalla CA. I Servizi certificati di Microsoft utilizzano "modelli di certificato" per la sua configurazione e i modelli decidono che cosa va inserito nei certificati. Secondo i miei test, l'utilizzo delle chiavi e gli usi chiave estesi che hai inserito nel certificato saranno completamente ignorati.

Quali estensioni sono necessarie per l'autenticazione del client e / o per l'autenticazione del server, dipende dal software coinvolto. Troverai alcune informazioni nella mia prosa passata, ad es. questo , questo e che

    
risposta data 05.04.2013 - 22:22
fonte

Leggi altre domande sui tag