Modo standard per indicare la versione e "schema" per il certificato X509
-
27-10-2019 - |
Domanda
Ho un sistema in cui i certificati X509 possono avere un numero di "schemi" in cui uno schema è una raccolta degli OID esatti richiesti/opzionali in materia del certificato. L'applicazione che verifica questi certificati deve sapere quale schema (e quale versione di tale schema) è stata utilizzata per un determinato certificato.
Ad esempio, lo schema A richiede CN, O, OU e Schema B richiedono CN, UID, O, C, ST.
Sto cercando un modo standard per codificare lo schema (+ versione) nel certificato in modo che l'applicazione di ricezione possa raccontare dal certificato come analizzarlo. Soluzioni:
- Dirotta un oid totalmente non correlato per riempire queste informazioni nell'argomento. Non mi piace, ma funzionerebbe come un fallback.
- Utilizzare un'estensione. Penso che gli attributi della directory dell'oggetto sembrano appropriati, ma poi sembra richiedere coppie di nomi/valore OID come suo carico utile, quindi di nuovo quali OID?
- Qualcos'altro del tutto?
Ancora una volta, posso far funzionare questo con il numero 1 o potrei fare un hack simile con il n. 2, ma quello che voglio davvero è un modo standard non-hack per raggiungere questo obiettivo.
Soluzione 2
Ho finito per utilizzare un OID a base di Uuid con l'arco 2.25 per ciascuno dei miei due campi di metadati (schema e versione).
Il sito seguente offre un generatore UUID come comodità e collegamento di registrazione (sebbene la registrazione non sia rigorosamente richiesta):
Altri suggerimenti
Supponiamo che ti importerebbe quale schema viene utilizzato. Ciò significa che probabilmente hai esattamente quei campi nel DN - e che stanno anche inventando il respiro di ciò che è firmato dalla CA (con i vari obbligatori). Quindi supponendo che i tuoi schemi siano diversi, ciò ti consentirebbe di distinguerli.
Un'altra opzione sarebbe una (sub) ca per schema; O semplicemente usa il campo di commento Netscape :).
Nella mia esperienza, tuttavia, quando è rilevante per l'organizzazione pubblicizzare, riconoscere/ricostruire e interpretare lo schema - ciò significa generalmente che ha uno scopo commerciale. Quindi ha generalmente un nome commerciale utile. In quel caso; Prendi in considerazione una (extra) O o OU (multi variante se necessario) con quello lì dentro.