Con respecto al archivo Openssl.config: ¿Cuál es la importancia de la coincidencia de políticas al crear un certificado autofirmado con la ayuda de este archivo?

1

Cuando intento revisar algún material para autofirmar un certificado, uno de los pasos me obligó a establecer las condiciones de la política en este archivo de configuración. Consulte: enlace

La idea es que cuando selecciona policy_match=match , ciertos campos en el certificado de la CA "deben coincidir con los campos correspondientes en el certificado del cliente para ser firmado". ¿Por qué el certificado de una CA debe tener campos coincidentes con el certificado de un cliente?

No tiene sentido para mí, ya que el cliente podría ser una entidad arbitraria que no tiene nada en común con la CA. ¿Alguien puede explicar el escenario en el que tendrían que coincidir?

    
pregunta Minaj 19.07.2016 - 21:29
fuente

1 respuesta

1

Es una decisión administrativa y arbitraria para el creador de la CA qué certificados de clientes desean habilitar para que sean firmados por la CA.

El policy_match en la siguiente línea de configuración:

policy          = policy_match

es un nombre elegido que corresponde a una sección particular en el archivo de configuración. Esa sección define en detalle cada uno de los

[ policy_match ]
countryName             = match
stateOrProvinceName     = match
localityName            = supplied
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Cada uno de los campos de DN para el certificado del cliente puede asignarse para que tenga el mismo valor que el CA ( match ), se debe especificar ( supplied ) o ser opcional ( optional ).

La misma guía sugiere otra política que coincida con sus criterios de " el cliente podría ser una entidad arbitraria que no tiene nada en común con la CA ":

[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Sin embargo, si quisiera crear una CA para su organización, eso le permitiría emitir solo certificados para esa parte de su organización que puede establecer libremente, por ejemplo:

policy          = policy_branch_1

[ policy_branch_1 ]
countryName             = match
stateOrProvinceName     = match
localityName            = match
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = supplied

Lo que requeriría que los certificados emitidos tuvieran los primeros tres campos de DN que coincidan con el certificado de la CA.

    
respondido por el techraf 19.07.2016 - 23:18
fuente

Lea otras preguntas en las etiquetas