Utilizzo di NameConstrains in un certificato CA.

3

Sto cercando di fare qualcosa di simile a ciò che è stato sottolineato in questa bella risposta da Jonathon Reinhart .

Ho un certificato CA con Name Constrains ( RFC ):

Permitted
     [1]Subtrees (0..0):
          DNS Name=valid.com
Excluded=None

In realtà, vorrei impedire alla CA di firmare qualsiasi altro certificato che possa fare un serverAuth, quindi ho usato una lista bianca (sarebbe possibile avere un Excluded = * ? come?)

Questo certificato CA è considerato attendibile dal browser dell'utente.

Ora creo 2 certificati, uno con SAN: DNS Name=valid.com e l'altro con SAN: DNS Name=fake.com , entrambi firmati dalla CA. Configuro il mio DNS locale per associare questi domini a localhost.

Quindi configuro il servizio Web per utilizzare il certificato "falso" e visitare fake.com. Mi dà un errore "The certificate has an invalid name. The name is not included in the permitted list or is explicitly excluded." , che è buono, anche se per qualche motivo l'errore viene mostrato da Windows sul certificato CA:

QuindiconfiguroilservizioWebperutilizzareilcertificato"valido" e visitare valid.com, che dovrebbe essere accettato. Ma ottengo esattamente lo stesso errore nelle stesse condizioni.

Cosa c'è che non va qui?

    
posta user1156544 05.02.2018 - 18:02
fonte

1 risposta

0

Abbastanza sicuro che dovrebbe essere

Nome DNS = .valid.com

per consentire la sottostruttura.

Il link ha più informazioni.

    
risposta data 09.02.2018 - 11:00
fonte

Leggi altre domande sui tag