"Contraseña de desafío" es una característica oscura y usualmente inútil. - > Dejar vacío.
Si su CA lo permite, entonces se requerirá Challenge Password
a cualquiera que intente obtener la revocación del certificado. - Pero, según entiendo, hay pocas CA ( o ninguna? ) que realmente usan esto. ( Por favor, deje un comentario si sabe lo contrario. ) Así que déjelo vacío si no está seguro.
¿Cuál es el uso previsto de una "Contraseña de desafío"?
Por lo que yo entiendo, la idea es esta:
Si tiene un administrador deshonesto que tiene acceso al certificado y la clave, ese administrador podría revocar el certificado y DOS.
Pero si tiene una CA que desafiará al administrador deshonesto a proporcionar el "Contraseña de desafío" , es posible que el administrador deshonesto no tenga esa contraseña y esté seguro de ese DOS. < br>
(El CP NO está incluido ni en el certificado ni en la clave. Solo en el CSR. Y no necesita el CSR para las operaciones diarias, por lo que es probable que el personal de operaciones no entre en contacto con el archivo del CSR y, por lo tanto, no sepa el Contraseña de desafío .) (Pero tenga en cuenta que todavía tiene que preocuparse por un administrador deshonesto que tiene su certificado / clave. Mucho. Por lo que entiendo, no obtiene exactamente nada al tener una "contraseña de desafío" en el En primer lugar. Corríjame si me equivoco. Tengo la sensación de que me estoy perdiendo una idea esencial. Tal vez esto permita la revocación de alguien que solo tiene el certificado y la contraseña pero NO el privado. clave.)
Lectura adicional
La definición oficial (demasiado breve) está aquí: RFC 2985: PKCS # 9: Clases de objetos seleccionados y tipos de atributos Versión 2.0, Sección 5.4.1: Contraseña de desafío
La pregunta surge regularmente:
Fuente adicional: