Estoy tratando de configurar una Autoridad de certificación raíz utilizando Keychain Access / Certificate Assistant pero estoy teniendo algunos problemas.
Al crear la autoridad, el asistente le solicita que ingrese las configuraciones de extensión Uso de clave y Uso de clave extendida tanto para la propia CA como para los usuarios de la misma. Sin embargo, una vez completado el certificado, parece que se ha cambiado. Por lo tanto, la CA parece tener la configuración que se ingresó para los usuarios de la CA.
Para fines de demostración, he hecho algunas capturas de pantalla de la configuración de un CA de prueba:
Esta configuración dará el certificado que se ve a continuación:
Como puede ver, los valores para el uso de claves y las extensiones de uso de claves extendidas provienen de los valores ingresados para los usuarios de esta CA. Mientras que los valores para las restricciones básicas y el nombre alternativo del sujeto parecen tomarse correctamente de los valores ingresados para la propia CA.
Ahora tengo algunas preguntas sobre esto:
- ¿Se trata de un error en el asistente de certificados y son las extensiones 2 y amp; 3 abajo tomado incorrectamente del asistente? (Si es así tendré que usar OpenSSL)
- Si no, ¿cuál es la razón por la que el certificado mostraría los valores predeterminados que utiliza para los certificados que emitirá? Y en ese caso, ¿el campo Uso de clave en el número 1 a continuación representa los valores correctos ingresados para la CA?
- ¿Los valores de usuario ingresados para esas 2 extensiones afectan los certificados emitidos de alguna manera? (Si se cambian los valores predeterminados para el certificado emitido). La razón por la que pregunto esto es porque he leído en alguna parte que la extensión de uso de clave establece los valores predeterminados para los certificados emitidos mientras que la extensión de uso de clave extendida restricciones Para los certificados emitidos.
fuente
Respuestas:
Así que he estado investigando esto más y, por lo que leo aquí y allá, estoy bastante seguro de que no se supone que esté haciendo esto. He reportado este error a Apple y si alguna vez recibo una respuesta de ellos, actualizaré esta publicación.
Si alguien con el mismo problema encuentra esta publicación, esta es la solución temporal que usé:
~/Library/Application Support/Certificate Authority/[ca name]
y edite el archivo de plantilla allí para los valores que realmente desea ingresar en la segunda pantalla de cada extensión.fuente