El Asistente de certificados intercambia la configuración de la extensión para CA / Usuarios

2

Estoy tratando de configurar una Autoridad de certificación raíz utilizando Keychain Access / Certificate Assistant pero estoy teniendo algunos problemas.

Al crear la autoridad, el asistente le solicita que ingrese las configuraciones de extensión Uso de clave y Uso de clave extendida tanto para la propia CA como para los usuarios de la misma. Sin embargo, una vez completado el certificado, parece que se ha cambiado. Por lo tanto, la CA parece tener la configuración que se ingresó para los usuarios de la CA.

Para fines de demostración, he hecho algunas capturas de pantalla de la configuración de un CA de prueba:

enter image description here

Esta configuración dará el certificado que se ve a continuación:

Como puede ver, los valores para el uso de claves y las extensiones de uso de claves extendidas provienen de los valores ingresados ​​para los usuarios de esta CA. Mientras que los valores para las restricciones básicas y el nombre alternativo del sujeto parecen tomarse correctamente de los valores ingresados ​​para la propia CA.

Ahora tengo algunas preguntas sobre esto:

  • ¿Se trata de un error en el asistente de certificados y son las extensiones 2 y amp; 3 abajo tomado incorrectamente del asistente? (Si es así tendré que usar OpenSSL)
  • Si no, ¿cuál es la razón por la que el certificado mostraría los valores predeterminados que utiliza para los certificados que emitirá? Y en ese caso, ¿el campo Uso de clave en el número 1 a continuación representa los valores correctos ingresados ​​para la CA?
  • ¿Los valores de usuario ingresados ​​para esas 2 extensiones afectan los certificados emitidos de alguna manera? (Si se cambian los valores predeterminados para el certificado emitido). La razón por la que pregunto esto es porque he leído en alguna parte que la extensión de uso de clave establece los valores predeterminados para los certificados emitidos mientras que la extensión de uso de clave extendida restricciones Para los certificados emitidos.

enter image description here

levidhuyvetter
fuente
Gracias por eso @klanomath. Esa es, con mucho, la explicación más clara que he visto sobre este tema. Aunque todavía tengo que encontrar una buena explicación para lo que hace el no rechazo, por ejemplo, con los correos electrónicos y dónde más podría usarse. Pero parece que sigue habiendo un problema, incluso si el uso / propósito en sí mismo cambió automáticamente debido a las dependencias, entonces el asistente de certificados todavía tomó el indicador de criticidad de los campos incorrectos.
levidhuyvetter

Respuestas:

0

Así que he estado investigando esto más y, por lo que leo aquí y allá, estoy bastante seguro de que no se supone que esté haciendo esto. He reportado este error a Apple y si alguna vez recibo una respuesta de ellos, actualizaré esta publicación.

Si alguien con el mismo problema encuentra esta publicación, esta es la solución temporal que usé:

  1. Cree la autoridad de certificación y, para cualquier extensión que le ofrezca dos pantallas, ingrese los mismos valores en ambas. Esos deben ser los valores que desea en el propio certificado.
  2. Cuando termine, vaya a ~/Library/Application Support/Certificate Authority/[ca name] y edite el archivo de plantilla allí para los valores que realmente desea ingresar en la segunda pantalla de cada extensión.
levidhuyvetter
fuente