¿Cuáles son los OID (KU y EKU) necesarios para la autenticación de tarjeta inteligente en Windows?

Question

¿Cuáles son los OID (KU y EKU) necesarios para la autenticación de tarjeta inteligente en Windows?

#1 de random65537 (2 votos)

2

La autenticación de la tarjeta inteligente de MSFT se encuentra en PKINIT RFC 4556 , sin embargo no veo ningún OID en la lista.

Basado en this y este artículo de KB, la sección EKU del certificado debe contener "Autenticación del cliente" o "Tarjeta inteligente de Microsoft".

Creo que encontré el OID de la sección EKU aquí

OID=1.3.6.1.5.5.7.3.2       ; XCN_OID_PKIX_KP_CLIENT_AUTH  Client Authentication (KB291010)

También encontré una lista de posibles OID aquí

 OID=1.3.6.1.4.1.311.20.2.2  ; XCN_OID_KP_SMARTCARD_LOGON

¿Cuáles son los requisitos para el cifrado de SmartCard con Windows?

public-key-infrastructure certificates windows smartcard

pregunta random65537 01.06.2012 - 19:51

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure certificates windows smartcard

¿Es seguro DWR (control remoto directo de la web)? compromiso de clave secreta en SSL vs en Kerberos

score 2 · Accepted Answer

Muchos de los requisitos se enumeran en este artículo de KB enlace

El certificado de tarjeta inteligente tiene requisitos de formato específicos:

La ubicación del punto de distribución de CRL (CDP) (donde CRL es la lista de revocación de certificación) debe estar completa, en línea y disponible.

Por ejemplo:

Punto de distribución de CRL Nombre del punto de distribución: Nombre completo: URL = http: //server1.name.com/CertEnroll/caname.crl

Uso de clave = Firma digital

Restricciones básicas [Tipo de asunto = Entidad final, Restricción de longitud de ruta = Ninguna] (Opcional)

Uso de clave mejorado =

Autenticación del cliente (1.3.6.1.5.5.7.3.2) (El OID de autenticación del cliente) solo es necesario si se utiliza un certificado para la autenticación SSL.)

Inicio de sesión con tarjeta inteligente (1.3.6.1.4.1.311.20.2.2)

Nombre alternativo del sujeto = Otro nombre: Nombre principal = (UPN). Por ejemplo:

UPN = [email protected]

El OID de UPN OtherName es: "1.3.6.1.4.1.311.20.2.3"

El valor UPN OtherName: debe ser una cadena UTF8 codificada en ASN1

Asunto = Nombre distinguido del usuario. Este campo es una extensión obligatoria, pero la población de este campo es opcional.