La CA interna de una empresa ha emitido un certificado de firmante raíz (no hay un certificado intermedio que actúa como firmante) en el que el DN solo contiene los campos C = US y O = company_name y ningún otro DN.
El certificado firmado por esta raíz se usa para una instancia de IBM MQ, por lo que las cosas que se conectan a él no están comparando el CN con el URI. El único valor de SAN presente coincide con la etiqueta de certificado en el almacén de claves, que IBM toma como valor predeterminado ibmwebspheremq[qmgrname]
, por lo que la SAN no coincidirá con el URI, el nombre de QMgr o cualquier otra cosa que un solicitante de conexión esperaría.
- Las aplicaciones JEE que se conectan a este servidor mediante una variedad de proveedores de JEES no se quejan.
- La validación de OpenSSL usando s_client es exitosa.
- IBM GSKit no puede validar el certificado personal en el KDB local (formato de almacén de claves de IBM) usando este firmante. El error cita a
An invalid basic constraint extension was found
con elGSKM_VALIDATIONFAIL_SUBJECT
citando el Nombre del Emisor y el Emisor, pero los muestra con valores idénticos.
Me pregunto si este DN, en particular el CN faltante, se considera no conforme. O, más concretamente, obviamente funciona con algunos proveedores de criptografía, pero ¿debería esperar que falle con cualquiera que valide de forma más estricta?