manière standard pour indiquer la version et « schéma » pour certificat X509
-
27-10-2019 - |
Question
J'ai un système dans lequel les certificats X509 peuvent avoir un certain nombre de « schémas » où un schéma est une collection des OID exactes qui sont nécessaires / en option dans le sujet du cert. L'application qui permet de vérifier ces certificats a besoin de connaître ce schéma (et quelle version de ce schéma) a été utilisé pour un certificat donné.
Par exemple, le schéma A nécessite CN, O, OU et le schéma B nécessite CN, UID, O, C, ST.
Je cherche un moyen standard pour coder le schéma (+ version) dans le certificat afin que l'application de réception peut dire à partir du certificat comment l'analyser. Solutions:
- Hijack certains OID totalement sans rapport avec cette substance de l'information sur le sujet. Je ne aime pas, mais cela fonctionnerait comme solution de repli hack-y.
- Utiliser une extension. Je pense que le sujet Attributs du répertoire semble que cela pourrait être approprié, mais il semble toujours d'exiger des paires nom / valeur OID que sa charge utile, donc à nouveau qui OID?
- autre chose?
Encore une fois, je peux faire ce travail avec # 1 ou pourrait faire un hack similaire avec # 2, mais ce que je veux vraiment est une norme de façon non-hack pour atteindre cet objectif.
La solution 2
J'ai fini par l'utilisation d'un OID à base UUID sous l'arc de 2,25 pour chacun de mes mes deux champs de métadonnées ( schéma et Version ).
Le site ci-dessous offre un générateur UUID comme une commodité et un lien d'inscription (bien que l'enregistrement ne soit pas strictement nécessaire):
Autres conseils
Je suppose que vous soucier de ce schéma est utilisé. Cela signifie donc que vous avez probablement exactement les champs de la DN - et qu'ils font aussi le souffle exactement ce qui est signé par l'AC (avec divers obligatoire). Donc, en supposant que votre schéma de sont différents - qui vous permettent de les distinguer
.Une autre option serait un (sous) CA par régime; ou simplement utiliser le champ de commentaire netscape :).
Dans mon expérience cependant - quand il est pertinent pour l'organisation de la publicité ainsi, reconnaître / Reconstruire et interpréter le régime - qui en général signifie qu'il a un but d'affaires. Ainsi, il a généralement un nom commercial utile. Dans ce cas; envisager une avec ce là (en sus) O ou OU (variante à plusieurs si nécessaire).