Estoy creando una PKI restringida que especifica EKU para toda la jerarquía y quiero documentar los OID necesarios para las tareas de mantenimiento del árbol PKI.
Entiendo que los clientes pueden no validar todo el árbol EKU, al igual que algunos clientes ni siquiera pueden verificar las CRL o las URL de OCSP. Mi intención es crear una línea de base de infraestructura que pueda usar para probar la interoperabilidad y documentar cómo los terceros validan (o no validan) los certificados utilizados por las AC.
Pregunta
Así que, suponiendo que un cliente validará una CRL, OSPF o cualquier otro certificado relacionado con el mantenimiento de la infraestructura PKI, ¿qué OID debo incluir en mi EKU raíz para habilitar una línea de base de soporte + SMIME?
Por ejemplo, algunos OID que pueden estar relacionados con la infraestructura PKI pueden incluir la firma de una CA secundaria (si existe tal OID), y también la subordinación calificada. Sin embargo, el problema que tengo es que todos los OID que puedo encontrar se encuentran en el espacio de nombres de Microsoft de 1.3.6.1.4.1.311 o simplemente se enumeran en esta página web . Dado que Microsoft no inventó la PKI, no quiero crear problemas de interoperabilidad al incluir solo sus OID ... Me gustaría incluir la implementación de IBM u Oracle (Java) en la validación de CA.
Respuesta de muestra
La respuesta ideal incluiría una lista de OID (en cualquier formato) y una descripción de para qué se utiliza con el mayor detalle posible. Lo siguiente está en el formato "Capolicy.inf" para el servidor de certificados de Microsoft, pero todo lo que me importa es la información ...
;OID = 1.3.6.1.4.1.311.20.2.1; Certificate Request Enrollment
OID = 1.3.6.1.5.5.7.3.9; OCSP Signing (Required for OCSP)
;OID = 1.3.6.1.5.5.7.48.1.5; OCSP signing (SHOWS AS UNKNOWN in some software)
OID = 1.3.6.1.5.5.7.3.4 ; SMIME
; OID = 1.2.840.113549.1.9.15 ; On MSFT.com... Safari reports SMIME
; Should I include timestamping OIDs?
También si hay ciertos OID que no debería incluir, inclúyalos también. Por ejemplo, lo siguiente parece ser controvertido y puede escalar derechos de certificados innecesariamente
;OID = 1.3.6.1.4.1.311.10.3.9 ; szOID_ROOT_LIST_SIGNER
;OID = 1.3.6.1.4.1.311.10.3.1 ; szOID_KP_CTL_USAGE_SIGNING