Es una decisión administrativa y arbitraria para el creador de la CA qué certificados de clientes desean habilitar para que sean firmados por la CA.
El policy_match
en la siguiente línea de configuración:
policy = policy_match
es un nombre elegido que corresponde a una sección particular en el archivo de configuración. Esa sección define en detalle cada uno de los
[ policy_match ]
countryName = match
stateOrProvinceName = match
localityName = supplied
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
Cada uno de los campos de DN para el certificado del cliente puede asignarse para que tenga el mismo valor que el CA ( match
), se debe especificar ( supplied
) o ser opcional ( optional
).
La misma guía sugiere otra política que coincida con sus criterios de " el cliente podría ser una entidad arbitraria que no tiene nada en común con la CA ":
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
Sin embargo, si quisiera crear una CA para su organización, eso le permitiría emitir solo certificados para esa parte de su organización que puede establecer libremente, por ejemplo:
policy = policy_branch_1
[ policy_branch_1 ]
countryName = match
stateOrProvinceName = match
localityName = match
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = supplied
Lo que requeriría que los certificados emitidos tuvieran los primeros tres campos de DN que coincidan con el certificado de la CA.