¿Qué son los OID en el contexto de este comando keytool?

2

Estoy en el proceso de configurar un complemento de terceros para Elasticsearch llamado Search Guard que también requiere Search Guard SSL .

Al configurar Search Guard SSL, debe configurar varios almacenes de claves y certificados SSL. Search Guard SSL proporciona varios scripts en este directorio: example-pki-scripts .

En uno de los scripts proporcionados se ejecuta el siguiente comando:

$ keytool -genkey \
        -alias     $NODE_NAME \
        -keystore  $NODE_NAME-keystore.jks \
        -keyalg    RSA \
        -keysize   2048 \
        -validity  712 \
        -sigalg SHA256withRSA \
        -keypass $KS_PASS \
        -storepass $KS_PASS \
        -dname "CN=$NODE_NAME.example.com, OU=SSL, O=Test, L=Test, C=DE" \
        -ext san=dns:$NODE_NAME.example.com,dns:localhost,ip:127.0.0.1,oid:1.2.3.4.5.5

#oid:1.2.3.4.5.5 denote this a server node certificate for search guard

No he encontrado el uso de oid:XXXX antes en el cambio -ext a keytool .

Mis preguntas

  • ¿Es el uso de oid: aquí la forma recomendada de ir aquí?
  • ¿Es seguro usar un oid:XXX aquí, parece seguridad a través de la oscuridad?
  • ¿De dónde viene la secuencia numérica para oid: , es simplemente arbitraria?
pregunta slm 09.08.2016 - 06:26
fuente

1 respuesta

5

OID significa identificador de objeto y en este contexto se usa para identificar un Extensión del certificado X.509, es decir, campos de datos adicionales almacenados en el certificado, que no están predefinidos por la norma.

OID no es un número secreto, por lo que no puede llamarse un mecanismo de "seguridad a través de la oscuridad". Es más bien una característica administrativa.

En este caso, Search Guard espera (busca) el valor de un campo san (nombre alternativo del sujeto). El san se define en una extensión identificada por el OID especificado de 1.2.3.4.5.5 y (Search Guard) ignorará (presumiblemente) todos los datos especificados en los campos san en las extensiones con cualquier otro OID.

El valor de OID se define generalmente por una aplicación y no está estandarizado, es decir, el desarrollador puede elegir uno arbitrariamente siempre que no entre en conflicto con otros OID. Algunas aplicaciones / organizaciones aplican una estructura jerárquica al OID.

Consulte, por ejemplo, el Standard X.509 v3 Referencia de extensión de certificado para ejemplos de cómo extensiones de certificado específicas.

    
respondido por el techraf 09.08.2016 - 07:21
fuente

Lea otras preguntas en las etiquetas