Tipos de certificados SSL y uso de claves

6

Quiero usar OpenSSL para crear una CSR y enviarla a mi CA (que usa Microsoft PKI) y recibir certificados que se pueden usar tanto para Server Auth como para Client Auth. No tengo claro un par de cosas, que pueden ser simplemente un enlace entre keyUsage y nsCertType .

  1. ¿Es suficiente para mí incluirlo en la RSE? keyUsage = digitalSignature, keyEncipherment y extendedKeyUsage = serverAuth, clientAuth ?
  2. ¿Puede la CA firmante ignorar estos atributos solicitados y     ¿Me concede solo el uso de la autenticación del servidor?
  3. Se utiliza nsCertType para solicitudes (por ejemplo, CSR) o solo cuando OpenSSL es     utilizado para firmar certificados?

Saludos, Mike

    
pregunta Mike 05.04.2013 - 22:06
fuente

1 respuesta

6

nsCertType es una extensión antigua específica de Netscape, que fue utilizada por el navegador Netscape en un momento en que ese navegador aún estaba vivo. Puedes olvidarlo hoy en día.

El CA firmante, por principio, actúa de cualquier manera que considere conveniente. Puede poner lo que quiera en su certificado. Su solicitud de certificado es solo una sugerencia . Puede contar más o menos con la CA para tomar la clave pública de su solicitud y usar esa clave pública en el certificado; para todo menos (incluido el nombre, los usos clave y otras extensiones) esto depende completamente de la CA para decidir. Los Servicios de certificados de Microsoft utilizan "plantillas de certificado" para su configuración, y las plantillas deciden qué se incluye en los certificados. De acuerdo con mis propias pruebas, el uso de la clave y los usos de la clave extendida que coloques en el certificado se ignorarán por completo.

Las extensiones necesarias para la autenticación del cliente y / o la autenticación del servidor dependen del software involucrado. Encontrará alguna información en mi prosa pasada, por ejemplo, this , this y that .

    
respondido por el Thomas Pornin 05.04.2013 - 22:22
fuente

Lea otras preguntas en las etiquetas