Riguardo al file Openssl.config: qual è l'importanza della corrispondenza dei criteri quando si crea un certificato autofirmato con l'aiuto di questo file?

1

Quando si cerca di passare del materiale per autofirmare un certificato, uno dei passaggi mi ha richiesto di impostare le condizioni dei criteri in questo file di configurazione. Vedi: link

L'idea è che quando selezioni policy_match=match , alcuni campi nel certificato della CA "devono corrispondere con i campi corrispondenti nel certificato client da firmare". Perché il certificato di una CA deve avere campi corrispondenti con il certificato di un cliente?

Non ha senso per me dal momento che il client potrebbe essere un'entità arbitraria che non ha nulla in comune con la CA. Qualcuno può spiegare lo scenario in cui questi dovrebbero corrispondere?

    
posta Minaj 19.07.2016 - 21:29
fonte

1 risposta

1

È una decisione arbitraria e amministrativa per il creatore di CA quali certificati client si desidera abilitare per essere firmati dalla CA.

policy_match nella seguente riga di configurazione:

policy          = policy_match

è un nome scelto che corrisponde a una particolare sezione nel file di configurazione. Quella sezione definisce in dettaglio ciascuno dei

[ policy_match ]
countryName             = match
stateOrProvinceName     = match
localityName            = supplied
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Ciascuno dei campi DN per il certificato client può essere assegnato per avere lo stesso valore della CA ( match ), essere richiesto per essere specificato ( supplied ), o essere facoltativo ( optional ).

La stessa guida suggerisce un'altra politica che corrisponde ai tuoi criteri di " il client potrebbe essere un'entità arbitraria che non ha nulla in comune con la CA ":

[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Tuttavia, se volessi creare una CA per la tua organizzazione, ciò consentirebbe di emettere solo certificati per quella parte della tua organizzazione che puoi liberamente impostare ad esempio:

policy          = policy_branch_1

[ policy_branch_1 ]
countryName             = match
stateOrProvinceName     = match
localityName            = match
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = supplied

Quale avrebbe richiesto che i certificati emessi avessero i primi tre campi DN corrispondenti al certificato della CA.

    
risposta data 19.07.2016 - 23:18
fonte