Certificate Assistant tauscht Erweiterungseinstellungen für CA / Benutzer aus

Ich versuche, eine Stammzertifizierungsstelle mit dem Schlüsselbundzugriff/Zertifikatsassistenten einzurichten, aber ich habe Probleme.

Beim Erstellen der Autorität fordert Sie der Assistent auf, die Erweiterungseinstellungen für die Schlüsselverwendung und die erweiterte Schlüsselverwendung sowohl für die Zertifizierungsstelle selbst als auch für deren Benutzer einzugeben. Nach Abschluss des Zertifikats scheint dies jedoch vertauscht worden zu sein. Die CA selbst scheint also die Einstellungen zu haben, die für die Benutzer der CA eingetragen wurden.

Zu Demonstrationszwecken habe ich einige Screenshots von der Einrichtung einer Test-CA gemacht:

Geben Sie hier die Bildbeschreibung ein

Dieses Setup ergibt das unten gezeigte Zertifikat:

Wie Sie sehen können, stammen die Werte für die Schlüsselverwendung und erweiterte Schlüsselverwendungserweiterungen aus den Werten, die für die Benutzer dieser Zertifizierungsstelle eingegeben wurden. Während die Werte für die grundlegenden Einschränkungen und den alternativen Antragstellernamen korrekt aus den für die Zertifizierungsstelle selbst eingegebenen Werten übernommen zu werden scheinen.

Jetzt habe ich ein paar Fragen dazu:

  • Ist dies ein Fehler im Zertifikatsassistenten und werden die Erweiterungen 2 und 3 unten fälschlicherweise aus dem Assistenten übernommen? (Wenn ja, muss ich OpenSSL verwenden)
  • Wenn nicht, warum würde das Zertifikat Standardwerte anzeigen, die es für Zertifikate verwendet, die es ausstellt? Und stellt in diesem Fall das Schlüsselverwendungsfeld unter Nr. 1 unten die korrekten Werte dar, die für die Zertifizierungsstelle eingegeben wurden?
  • Beeinflussen die für diese beiden Erweiterungen eingegebenen Benutzerwerte die ausgestellten Zertifikate in irgendeiner Weise? (Wenn die Standardeinstellungen für das ausgestellte Zertifikat geändert werden). Der Grund, warum ich das frage, ist, dass ich irgendwo gelesen habe, dass die Schlüsselverwendungserweiterung Standardwerte für ausgestellte Zertifikate festlegt, während die erweiterte Schlüsselverwendungserweiterung Einschränkungen für ausgestellte Zertifikate festlegt.

Geben Sie hier die Bildbeschreibung ein

Danke dafür @klanomath. Das ist bei weitem die klarste Erklärung, die ich zu diesem Thema gesehen habe. Obwohl ich noch keine gute Erklärung dafür gefunden habe, was Non-Repudiation zum Beispiel mit E-Mails macht und wo es sonst noch verwendet werden könnte. Aber es scheint immer noch ein Problem zu geben, selbst wenn sich die Verwendung / der Zweck selbst aufgrund von Abhängigkeiten automatisch geändert hat, hat der Zertifikatsassistent den Kritikalitätsindikator immer noch aus den falschen Feldern genommen.

Antworten (1)

Ich habe mich also weiter damit befasst und nach dem, was ich hier und da gelesen habe, bin ich mir ziemlich sicher, dass dies nicht der Fall sein sollte. Ich habe diesen Fehler an Apple gemeldet und wenn ich jemals eine Antwort von Apple erhalte, werde ich diesen Beitrag aktualisieren.

Wenn jemand mit dem gleichen Problem diesen Beitrag findet, ist dies die vorübergehende Lösung, die ich verwendet habe:

  1. Erstellen Sie die Zertifizierungsstelle und geben Sie für jede Erweiterung, die Ihnen zwei Bildschirme bietet, in beiden die gleichen Werte ein. Das sollten die Werte sein, die Sie auf dem Zertifikat selbst haben möchten.
  2. Wenn Sie fertig sind, gehen Sie ~/Library/Application Support/Certificate Authority/[ca name]dort zur Vorlagendatei und bearbeiten Sie die Werte, die Sie eigentlich in den zweiten Bildschirm jeder Erweiterung eingeben wollten.
Certificate Assistant tauscht Erweiterungseinstellungen für CA / Benutzer aus
AntwortenHierDatenschutz-Bestimmungen1y, 0v