Standardweise zur Anzeige der Version und des „Schemas“ für X509 -Zertifikat
-
27-10-2019 - |
Frage
Ich habe ein System, in dem x509 -Zertifikate eine Reihe von "Schemata" haben können, in denen ein Schema eine Sammlung der genauen OIDs ist, die im Thema des Zertifikats erforderlich/optional sind. Die Anwendung, die diese Zertifikate überprüft, muss wissen, welches Schema (und welche Version dieses Schemas) für ein bestimmtes Zertifikat verwendet wurde.
Zum Beispiel erfordert Schema A CN, O, OU und Schema B CN, UID, O, C, ST.
Ich suche nach einer Standardmethode, um das Schema (+ Version) im Zertifikat zu codieren, sodass die empfangende Anwendung über das Zertifikat angeben kann, wie es analysiert wird. Lösungen:
- Entführen Sie einige völlig unabhängige OID, um diese Informationen in das Thema zu stopfen. Ich mag das nicht, aber es würde als Hack-Y-Fallback funktionieren.
- Verwenden Sie eine Erweiterung. Ich denke, die Attribute des Betreffverzeichnisses sieht so aus, als wäre es angemessen, aber dann scheint es immer noch OID -Namen/Wertpaare als Nutzlast zu erfordern.
- Etwas anderes ganz?
Auch hier kann ich diese Arbeit mit Nr. 1 machen oder einen ähnlichen Hack mit #2 machen, aber was ich wirklich will, ist eine Standard-Nicht-Hack-Methode, um dieses Ziel zu erreichen.
Lösung 2
Ich habe einen UUID-basierten OID unter dem 2,25-Bogen für jedes meiner beiden Metadatenfelder verwendet (Schema und Ausführung).
Die folgende Website bietet einen UUID -Generator als Komfort und einen Registrierungslink (obwohl die Registrierung nicht ausschließlich erforderlich ist):
Andere Tipps
Ich würde annehmen, dass Sie sich darum kümmern würden, welches Schema verwendet wird. Das bedeutet also, dass Sie wahrscheinlich genau diese Felder im DN haben - und dass sie auch den Atem dessen ausmachen, was von der CA (mit dem obligatorischen Sonnenuntergang) unterschrieben wird. Angenommen, Ihre Schema sind unterschiedlich - so würde Sie sie unterscheiden.
Eine andere Option wäre eine (sub) CA pro Schema; Oder verwenden Sie einfach das Feld NetScape Kommentar :).
Nach meiner Erfahrung - wenn es für die Organisation relevant ist, das System so zu werben, zu erkennen/zu rekonstruieren und zu interpretieren - bedeutet dies im Allgemeinen, dass es einen gewissen Geschäftszweck hat. So hat es im Allgemeinen einen nützlichen Firmennamen. In diesem Fall; Betrachten Sie ein (zusätzliches) O oder OU (bei Bedarf multi -variante).