Come ho capito, la creazione di un certificato x509 è una semplice procedura in 3 fasi:
- Il client genera una chiave privata e una pubblica.
- I client generano una richiesta di firma del certificato per la coppia e la firma utilizzando la sua chiave privata.
- L'autorità di certificazione verifica la richiesta di firma del certificato e genera una firma.
Sono un po 'confuso su quali informazioni sono fornite dal client e su cosa viene imposto dall'autorità di certificazione. Sto bene con il cliente che fornisce le informazioni di base su chi è, ma non capisco perché spetti al client fornire estensioni v3 (cioè extendedKeyUsage). Per me, il client è un utente interessato a utilizzare la PKI per accedere a qualche tipo di servizio. Pertanto, la PKI è responsabile della determinazione dello scopo del certificato. Analogamente, non è compito del lavoratore assicurarsi di non accedere a risorse limitate, ma è compito dei reparti di sicurezza impedirgli di farlo.
In breve: perché il client fornisce le estensioni v3 nella richiesta di firma del certificato invece dell'autorità di certificazione che le impone quando genera il certificato?