Cosa sono OID nel contesto di questo comando keytool?

2

Sono in procinto di configurare un plug-in di terze parti per Elasticsearch chiamato Search Guard che richiede anche Search Guard SSL .

Durante l'impostazione di Search Guard SSL, è necessario impostare diversi keystore e certificati SSL. Diversi script sono forniti da Search Guard SSL, in questa directory: example-pki-scripts .

In uno degli script forniti viene eseguito il seguente comando:

$ keytool -genkey \
        -alias     $NODE_NAME \
        -keystore  $NODE_NAME-keystore.jks \
        -keyalg    RSA \
        -keysize   2048 \
        -validity  712 \
        -sigalg SHA256withRSA \
        -keypass $KS_PASS \
        -storepass $KS_PASS \
        -dname "CN=$NODE_NAME.example.com, OU=SSL, O=Test, L=Test, C=DE" \
        -ext san=dns:$NODE_NAME.example.com,dns:localhost,ip:127.0.0.1,oid:1.2.3.4.5.5

#oid:1.2.3.4.5.5 denote this a server node certificate for search guard

Non ho riscontrato l'utilizzo di oid:XXXX prima nell'intervallo -ext in keytool .

Le mie domande

  • L'uso di oid: qui è il modo consigliato di andare qui?
  • È sicuro usare qui oid:XXX , sembra sicurezza attraverso l'oscurità?
  • Da dove viene la sequenza numerica per oid: , è arbitraria?
posta slm 09.08.2016 - 06:26
fonte

1 risposta

5

OID sta per un identificatore di oggetto e in questo contesto viene utilizzato per identificare un Estensione del certificato X.509, ovvero campi di dati aggiuntivi memorizzati nel certificato, che non sono predefiniti dallo standard.

L'OID non è un numero segreto, quindi non può essere definito un meccanismo di "sicurezza attraverso l'oscurità". È più una caratteristica amministrativa.

In questo caso, Search Guard prevede (cerca) il valore di un campo san (oggetto nome alternativo). L' san è definito in un prolungamento identificato dal OID specificato di 1.2.3.4.5.5 e (Ricerca Guardia) sarà (presumibilmente) ignorare tutti i dati specificati nei campi san nelle estensioni con altri OID.

Il valore di OID è definita di solito da un'applicazione e non è standardizzato, vale a dire lo sviluppatore può scegliere uno arbitrariamente fintanto che non sia in conflitto con altri OID. Alcune applicazioni / organizzazioni applicano una struttura gerarchica a OID.

Fare riferimento ad esempio al standard X.509 v3 di Red Hat Riferimento all'estensione certificato per esempi su come specifiche estensioni di certificato.

    
risposta data 09.08.2016 - 07:21
fonte

Leggi altre domande sui tag