Con respecto al archivo Openssl.config: ¿Cuál es la importancia de la coincidencia de políticas al crear un certificado autofirmado con la ayuda de este archivo?

Question

Con respecto al archivo Openssl.config: ¿Cuál es la importancia de la coincidencia de políticas al crear un certificado autofirmado con la ayuda de este archivo?

#1 de techraf (1 votos)

1

Cuando intento revisar algún material para autofirmar un certificado, uno de los pasos me obligó a establecer las condiciones de la política en este archivo de configuración. Consulte: enlace

La idea es que cuando selecciona policy_match=match , ciertos campos en el certificado de la CA "deben coincidir con los campos correspondientes en el certificado del cliente para ser firmado". ¿Por qué el certificado de una CA debe tener campos coincidentes con el certificado de un cliente?

No tiene sentido para mí, ya que el cliente podría ser una entidad arbitraria que no tiene nada en común con la CA. ¿Alguien puede explicar el escenario en el que tendrían que coincidir?

digital-signature tls certificates certificate-authority openssl

pregunta Minaj 19.07.2016 - 21:29

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature tls certificates certificate-authority openssl

¿Cómo puedo agregar mi sitio web para precargar el conjunto de entradas de navegadores conocidos como Firefox o Chrome? ¿Cuál es la mejor manera de cargar un archivo de forma segura? [cerrado]

score 1 · Accepted Answer

Es una decisión administrativa y arbitraria para el creador de la CA qué certificados de clientes desean habilitar para que sean firmados por la CA.

El policy_match en la siguiente línea de configuración:

policy          = policy_match

es un nombre elegido que corresponde a una sección particular en el archivo de configuración. Esa sección define en detalle cada uno de los

[ policy_match ]
countryName             = match
stateOrProvinceName     = match
localityName            = supplied
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Cada uno de los campos de DN para el certificado del cliente puede asignarse para que tenga el mismo valor que el CA ( match ), se debe especificar ( supplied ) o ser opcional ( optional ).

La misma guía sugiere otra política que coincida con sus criterios de " el cliente podría ser una entidad arbitraria que no tiene nada en común con la CA ":

[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Sin embargo, si quisiera crear una CA para su organización, eso le permitiría emitir solo certificados para esa parte de su organización que puede establecer libremente, por ejemplo:

policy          = policy_branch_1

[ policy_branch_1 ]
countryName             = match
stateOrProvinceName     = match
localityName            = match
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = supplied

Lo que requeriría que los certificados emitidos tuvieran los primeros tres campos de DN que coincidan con el certificado de la CA.