Ho un'autorità di certificazione e vorrei configurare CRL . C'è un modo per farlo in Keychain Access? (Sto utilizzando OS X Server).
Ho un'autorità di certificazione e vorrei configurare CRL . C'è un modo per farlo in Keychain Access? (Sto utilizzando OS X Server).
Sfortunatamente, l'accesso Portachiavi (Assistente certificato) non ha la capacità di includere un punto di distribuzione CRL all'interno di una sezione delle estensioni del certificato nei certificati che genera. Probabilmente noterai che la CA corrente non ha un CRL punto di distribuzione specificato (anche se hai abilitato la firma CRL come uso consentito di quel certificato durante la creazione.)
Funziona!
È interessante notare che, quando si imposta come master Open Directory, OS X Server crea automaticamente un'autorità di certificazione autofirmata insieme a una CA intermedia - che possiedono entrambi un punto di distribuzione CRL (con un formato simile a: link .) Questi certificati non sono generati dall'autorità di certificazione, ma da xscertd-helper , che è biforcato da slapconfig durante l'installazione e la configurazione di Open Directory. Se la tua macchina stava già eseguendo Open Directory, potresti utilizzare slapconfig (principalmente xscertd-helper ) per:
/var/db/crls automaticamente xscertd ) Dalla pagina man di slapconfig , il comando che è possibile utilizzare per ricreare la configurazione della CA utilizzata da Open Directory ( nota: questo fa parte del processo di installazione OD e non è necessario nella maggior parte delle situazioni ) è:
-createrootcertauthority <Certificate Authority Name> <Certificate Authority Admin Email> <Certificate Authority Organization Name>
Create a CA on the OD master.
Sfortunatamente, slapconfig controllerà che la macchina sia un master OD prima di consentire l'avvio di questa configurazione. Sebbene sia possibile ingannarlo eseguendo alcuni passaggi impostando false flag nei file plist ( /Library/Preferences/com.apple.openldap.plist ), il software alla fine rende LDAP esegue una query sul nodo locale e non riesce a trovare il nodo che risponde (o non riesce a trovare la classe dell'oggetto certificationAuthority ).
Esiste un'utilità denominata xscertadmin che può essere utilizzata (dagli umani!) per aggiungere elementi all'elenco di distribuzione CRL. Tuttavia, quel software è (di nuovo) dipendente dal fatto che il tuo computer sia un master OD (e in esecuzione xscertd ). Da quello che posso vedere, Apple sta memorizzando diversi pezzi di dati nel portachiavi del sistema (preferenze di identità per i certificati OD CA e IA, la passphrase utilizzata per proteggere ogni chiave privata, così come i certificati stessi) e nel LDAP database (CRL, certificati CA). Sembra che questa utility sia in realtà solo destinata alla lettura e alla scrittura di certificati e dati CRL da / verso il nodo LDAP locale e il portachiavi di sistema.
Lo svantaggio della configurazione OD è che non sembra fornire punti di distribuzione CRL all'interno di nessuno dei certificati creati dalla CA intermedia (vale a dire, il certificato della macchina del server OD, un certificato di firma del codice per l'uso con Profile Manager), che non sembra essere molto utile.
Avvio a mano
Naturalmente, questo non esclude l'uso di openssl sulla riga di comando per gestire i tuoi certificati. La gestione dei certificati può anche essere automatizzata utilizzando i file di configurazione openssl . Tuttavia, ti verrà comunque richiesto di tenere traccia dei certificati che hai emesso e di quelli che sono stati revocati.
Puoi esportare i certificati e le chiavi CA correnti dall'accesso con portachiavi e (dato che è stato creato con la possibilità di utilizzo di firmare i CRL) può utilizzarlo per la gestione della firma del certificato. Sfortunatamente, questo non ti darà la possibilità di utilizzare l'interfaccia Assistente certificato facile da usare.
Anche se è anche possibile simulare la configurazione che Apple sta usando (memorizzando le chiavi CA all'interno del portachiavi), quando firmano i certificati con OpenSSL, le soluzioni che dovrebbero essere eseguite per ottenere le chiavi in modo che openssl può firmare sarebbe un po 'di lavoro, e potrebbe ridurre al minimo il rendimento.
Leggi altre domande sui tag certificate keychain