Qual è la differenza tra "extendedKeyUsage" e un criterio applicativo?

Question

Qual è la differenza tra "extendedKeyUsage" e un criterio applicativo?

#1 da (3 voti)

4

In alcuni articoli Microsoft come link , trovo alcune affermazioni confuse come

Application policies are sometimes called extended key usage or enhanced key usage. Because some implementations of public key infrastructure (PKI) applications cannot interpret application policies, both application policies and enhanced key usage sections appear in certificates issued by a Windows Server–based certification authority (CA).

Mentre la prima frase sembra suggerire che sono in realtà la stessa cosa chiamata differente, quest'ultima suggerisce che sono cose diverse che possono apparire entrambi in un certificato CA. L'unica differenza sembra essere l'utilizzo di OID specifici di Microsoft (più di essi possono essere trovati qui , principalmente 1.3 .6.1.4.1.311.10.3. *).

Quindi, in che misura sono cose diverse, dovrei preoccuparmi, e se sì, come posso trattarli correttamente in openssl?

openssl certificates x.509

posta Tobias Kienzler 12.02.2013 - 15:38

fonte

1 risposta

Leggi altre domande sui tag openssl certificates x.509

Cercando di capire l'accesso a Gmail in Wireshark Come gestire la crittografia del disco per la connessione remota?

score 3 · Accepted Answer

Nella terminologia Microsoft, "criteri applicativi" sembra essere un'estensione personalizzata con OID 1.3.6.1.4.1.311.21.10, che sembra essere approssimativamente simile nei contenuti e negli obiettivi all'utilizzo della chiave estesa standard. Vedo in un certificato prodotto da MS un'estensione "Utilizzo chiave esteso" che contiene due OID e un'estensione "politiche dell'applicazione" che contiene i due stessi OID, anche se ciascuno all'interno di un ulteriore strato SEQUENCE , il che probabilmente significa che Microsoft un'estensione specifica consente alcuni qualificatori facoltativi. Non sono riuscito a trovare una descrizione pubblica dell'estensione. ( Modifica: questa pagina dice che l'estensione usa la "stessa codifica di szOID_CERT_POLICIES", che è 2.5.29.32, ovvero l'estensione standard Certificate Policies da RFC 5280 .)

Data la mancanza di informazioni su questa estensione, il modo migliore per gestirlo è probabilmente ignorarlo del tutto. L'estensione non è contrassegnata come "critica", quindi puoi ignorarla se non la capisci, come per X.509 , sezione 4.2:

A non-critical extension MAY be ignored if it is not recognized, but MUST be processed if it is recognized.