Standardweise zur Anzeige der Version und des „Schemas“ für X509 -Zertifikat

StackOverflow https://stackoverflow.com/questions/9343345

  •  27-10-2019
  •  | 
  •  

Frage

Ich habe ein System, in dem x509 -Zertifikate eine Reihe von "Schemata" haben können, in denen ein Schema eine Sammlung der genauen OIDs ist, die im Thema des Zertifikats erforderlich/optional sind. Die Anwendung, die diese Zertifikate überprüft, muss wissen, welches Schema (und welche Version dieses Schemas) für ein bestimmtes Zertifikat verwendet wurde.

Zum Beispiel erfordert Schema A CN, O, OU und Schema B CN, UID, O, C, ST.

Ich suche nach einer Standardmethode, um das Schema (+ Version) im Zertifikat zu codieren, sodass die empfangende Anwendung über das Zertifikat angeben kann, wie es analysiert wird. Lösungen:

  1. Entführen Sie einige völlig unabhängige OID, um diese Informationen in das Thema zu stopfen. Ich mag das nicht, aber es würde als Hack-Y-Fallback funktionieren.
  2. Verwenden Sie eine Erweiterung. Ich denke, die Attribute des Betreffverzeichnisses sieht so aus, als wäre es angemessen, aber dann scheint es immer noch OID -Namen/Wertpaare als Nutzlast zu erfordern.
  3. Etwas anderes ganz?

Auch hier kann ich diese Arbeit mit Nr. 1 machen oder einen ähnlichen Hack mit #2 machen, aber was ich wirklich will, ist eine Standard-Nicht-Hack-Methode, um dieses Ziel zu erreichen.

War es hilfreich?

Lösung 2

Ich habe einen UUID-basierten OID unter dem 2,25-Bogen für jedes meiner beiden Metadatenfelder verwendet (Schema und Ausführung).

Die folgende Website bietet einen UUID -Generator als Komfort und einen Registrierungslink (obwohl die Registrierung nicht ausschließlich erforderlich ist):

http://www.itu.int/itu-t/asn1/cgi-ner/uuid_generate

Andere Tipps

Ich würde annehmen, dass Sie sich darum kümmern würden, welches Schema verwendet wird. Das bedeutet also, dass Sie wahrscheinlich genau diese Felder im DN haben - und dass sie auch den Atem dessen ausmachen, was von der CA (mit dem obligatorischen Sonnenuntergang) unterschrieben wird. Angenommen, Ihre Schema sind unterschiedlich - so würde Sie sie unterscheiden.

Eine andere Option wäre eine (sub) CA pro Schema; Oder verwenden Sie einfach das Feld NetScape Kommentar :).

Nach meiner Erfahrung - wenn es für die Organisation relevant ist, das System so zu werben, zu erkennen/zu rekonstruieren und zu interpretieren - bedeutet dies im Allgemeinen, dass es einen gewissen Geschäftszweck hat. So hat es im Allgemeinen einen nützlichen Firmennamen. In diesem Fall; Betrachten Sie ein (zusätzliches) O oder OU (bei Bedarf multi -variante).

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top