Crear certificados de cliente usando un certificado firmado

Navega tus respuestas
1

Tenemos un certificado de servidor firmado adecuado y una CA intermedia de una autoridad de certificados de confianza.

¿Es cierto que no podemos usar este certificado (por lo tanto, la CA intermedia) para crear nuestros propios certificados de cliente?

Como leí aquí: enlace

  

"es por eso que no le darán energía sub-CA gratis"

¿Entonces una autoridad de certificación simplemente no me permite hacer esto?

¿Esto significa que la única forma de crear certificados de cliente es hacer mi propia CA.

Por favor, corríjame si cometo un error fundamental aquí ...

    
pregunta Wilt 06.03.2017 - 17:50
fuente

2 respuestas

6

Su CA le emitió un certificado de CA intermedio si:

  • le han proporcionado un certificado que tiene la extensión de CA establecida en VERDADERO (con o sin profundidad)
  • le han proporcionado un certificado que tiene extensiones de uso clave adecuadas, que son keyCertSign y cRLSign (consulte enlace )
  • usted controla / posee la clave privada que coincide con el subjectPublicKey del certificado

Si ese es el caso, a menos que hayan introducido otras restricciones (como NameConstraints, consulte enlace y enlace ), debería poder utilizar la CA intermedia para emitir certificados de cliente si así lo desea. Puede haber razones políticas / contractuales por las que esto puede no ser cierto.

Sospecho que tal certificado sería caro, pero no tengo ninguna referencia que pueda señalar.

Dicho esto, se debe tener en cuenta que, para los certificados de clientes, no hay un requisito fundamental para que los certificados de cliente de CA emitan los certificados de servidor que emiten los certificados de CA. Es totalmente posible utilizar una CA interna para sus certificados de cliente y una externa para, por ejemplo, sus servidores web públicos.

    
respondido por el iwaseatenbyagrue 06.03.2017 - 18:05
fuente
2

Un certificado de confianza está firmado por una clave privada de CA. Lo que hace que sea una CA es que

a) tiene marcas especiales que indican que es una CA (bueno, más o menos), y
b) su clave pública se almacena en el significado de tu almacén de confianza su computadora confía en ella y sus hijos.

El certificado que tiene está destinado a un propósito específico, y tiene sus propias marcas especiales que denotan para qué se utiliza. Los certificados de cliente también tienen sus propias marcas, etc.

Ahora, puede usar su clave privada para firmar otros certificados en el sentido técnico, pero nadie confiará en ellos porque su certificado no tiene las marcas especiales que indican que está permitido hacerlo.

Entonces, sí, necesita su propia CA para usar los certificados de los clientes de la forma en que desea usarlos. Dicho esto, cada servicio que necesite verificar uno de esos certificados necesitaría una copia de la clave pública de la CA en su almacén de confianza. Por supuesto, si tenía el poder de firmar tales certificados en los que se confiaba, tendría a su disposición una inmensa cantidad de poder porque podría crear certificados confiables para servicios que no son legítimamente suyos.

    
respondido por el Steve 06.03.2017 - 18:04
fuente

Lea otras preguntas en las etiquetas

Posible telemetría de dispositivo de entrada activa en una red de miembros de la familia [cerrado] ¿Cómo depurar un archivo .c o .cpp particular de AOSP?