Sto costruendo una PKI vincolata che specifica EKU per l'intera gerarchia e voglio documentare gli OID richiesti per le attività di manutenzione dell'albero PKI.
Comprendo che i client potrebbero non convalidare l'intero albero EKU, proprio come alcuni client potrebbero non controllare nemmeno i CRL o gli URL OCSP. Il mio intento è quello di creare una linea di base dell'infrastruttura che possa essere utilizzata per testare l'interoperabilità e documentare in che modo le terze parti convalidano (o non convalidano) i certificati utilizzati dalle CA.
Domanda
Quindi, supponendo che un client convalidi un CRL, OSPF o qualsiasi altro certificato relativo alla manutenzione dell'infrastruttura PKI, quali OID devo includere nel mio EKU di root per abilitare una linea di base di supporto + SMIME?
Ad esempio, alcuni OID che possono riguardare l'infrastruttura PKI possono includere la firma di una CA secondaria (se tale OID esiste) e anche la Subordinazione qualificata. Tuttavia il problema è che tutti gli OID che posso trovare rientrano nello spazio dei nomi Microsoft di 1.3.6.1.4.1.311 o sono semplicemente elencati su questa pagina web . Poiché Microsoft non ha inventato PKI, non voglio creare problemi di interoperabilità includendo solo i loro OID ... Vorrei includere l'implementazione di IBM o Oracle (Java) sulla convalida della CA.
Risposta campione
La risposta ideale dovrebbe includere un elenco di OID (in qualsiasi formato) e una descrizione di ciò per cui è utilizzato nel modo più dettagliato possibile. Quanto segue è nel formato "Capolicy.inf" per il server dei certificati Microsoft, ma tutto quello che mi interessa sono le informazioni ...
;OID = 1.3.6.1.4.1.311.20.2.1; Certificate Request Enrollment
OID = 1.3.6.1.5.5.7.3.9; OCSP Signing (Required for OCSP)
;OID = 1.3.6.1.5.5.7.48.1.5; OCSP signing (SHOWS AS UNKNOWN in some software)
OID = 1.3.6.1.5.5.7.3.4 ; SMIME
; OID = 1.2.840.113549.1.9.15 ; On MSFT.com... Safari reports SMIME
; Should I include timestamping OIDs?
Inoltre, se ci sono determinati OID che non dovrei includere, includi anche loro. Ad esempio, i seguenti sembrano essere controversi e potrebbero invalidare i diritti dei certificati inutilmente
;OID = 1.3.6.1.4.1.311.10.3.9 ; szOID_ROOT_LIST_SIGNER
;OID = 1.3.6.1.4.1.311.10.3.1 ; szOID_KP_CTL_USAGE_SIGNING