Uso de NameConstrains en un certificado de CA

3

Estoy tratando de hacer algo similar a lo que se ha señalado en esta buena respuesta de Jonathon Reinhart .

Tengo un certificado de CA con Name Constrains ( RFC ):

Permitted
     [1]Subtrees (0..0):
          DNS Name=valid.com
Excluded=None

En realidad, me gustaría evitar que la CA firme cualquier otro certificado que pueda hacer un serverAuth, así que usé una lista blanca (¿sería posible tener un Excluded = * ? ¿cómo?)

Este certificado CA es de confianza para el navegador del usuario.

Ahora creo 2 certificados, uno con SAN: DNS Name=valid.com y el otro con SAN: DNS Name=fake.com , ambos firmados por la CA. Configuré mi DNS local para asociar estos dominios con localhost.

Luego, configuro el servicio web para usar el certificado "falso" y visito fake.com. Me da un error "The certificate has an invalid name. The name is not included in the permitted list or is explicitly excluded." , lo cual es bueno, aunque por alguna razón Windows muestra el error en el certificado de CA:

Luego,configuroelserviciowebparausarelcertificado"válido" y visito valid.com, que se supone que se debe aceptar. Pero recibo exactamente el mismo error en las mismas condiciones.

¿Qué está mal aquí?

    
pregunta user1156544 05.02.2018 - 18:02
fuente

1 respuesta

0

Bastante seguro de que debería ser

Nombre DNS = .valid.com

para permitir el subárbol.

enlace tiene más información.

    
respondido por el Bruno Rohée 09.02.2018 - 11:00
fuente

Lea otras preguntas en las etiquetas