Certificate Assistant scambia le impostazioni dell'estensione per CA / utenti

2

Sto provando a impostare un'autorità di certificazione di root utilizzando l'accesso Portachiavi / Assistente certificato, ma sto riscontrando dei problemi.

Quando si crea l'autorizzazione, l'assistente chiede di immettere le impostazioni dell'estensione di utilizzo delle chiavi e dell'uso della chiave estesa sia per la CA stessa che per gli utenti. Tuttavia, al completamento del certificato, questo sembra essere stato scambiato. Quindi la stessa CA sembra avere le impostazioni che sono state immesse per gli utenti della CA.

A scopo dimostrativo, ho creato alcuni screenshot per configurare una CA di prova:

Questaconfigurazioneprodurràilcertificatovistodiseguito:

Comepuoivedereivaloriperl'utilizzodellechiavieleestensionidiutilizzodellechiaviesteseprovengonodaivaloriimmessipergliutentiperquestaCA.Mentreivaloriperivincolidibaseeilnomealternativodell'oggettosembranoesserepresicorrettamentedaivaloriimmessiperlaCAstessa.

Orahoalcunedomandeariguardo:

  • Sitrattadiunbugnell'assistentedicertificatiesonoleestensioni2&3sottoerroneamentepresol'assistente?(SecosìdovròusareOpenSSL)
  • Incasocontrario,qualèlaragionepercuiilcertificatomostreràivaloripredefiniticheutilizzapericertificaticheemetterà?Einquestocaso,ilcampoUsochiavealnumero1sottorappresentaivaloricorrettiinseritiperlaCA?
  • Ivaloriutenteinseritiperqueste2estensioniinfluisconoinqualchemodosuicertificatiemessi?(Seivaloripredefinitiperilcertificatoemessosonocambiati).Ilmotivopercuilochiedoèperchéholettodaqualchepartechel'estensionediutilizzodellachiaveimpostaivaloripredefinitipericertificatiemessimentrel'estensionediutilizzodellachiaveestesaimpostarestrizionipericertificatiemessi.

    
posta levidhuyvetter 15.08.2016 - 17:16
fonte

1 risposta

0

Quindi ho cercato di approfondire questo aspetto e da ciò che leggo qui e là, sono abbastanza sicuro che non dovrebbe farlo. Ho segnalato questo bug a Apple e se avrò mai una risposta da loro aggiornerò questo post.

Se qualcuno con lo stesso problema trova questo post, questa è la soluzione temporanea che ho usato:

  1. Crea l'autorità di certificazione e per ogni estensione che ti dà due schermate inserisci gli stessi valori in entrambi. Questi dovrebbero essere i valori che desideri sul certificato stesso.
  2. Al termine, vai a ~/Library/Application Support/Certificate Authority/[ca name] e modifica il file del modello lì per i valori che desideri effettivamente inserire nella seconda schermata di ogni estensione.
risposta data 22.08.2016 - 01:57
fonte

Leggi altre domande sui tag