Modo standard per indicare la versione e "schema" per il certificato X509

StackOverflow https://stackoverflow.com/questions/9343345

  •  27-10-2019
  •  | 
  •  

Domanda

Ho un sistema in cui i certificati X509 possono avere un numero di "schemi" in cui uno schema è una raccolta degli OID esatti richiesti/opzionali in materia del certificato. L'applicazione che verifica questi certificati deve sapere quale schema (e quale versione di tale schema) è stata utilizzata per un determinato certificato.

Ad esempio, lo schema A richiede CN, O, OU e Schema B richiedono CN, UID, O, C, ST.

Sto cercando un modo standard per codificare lo schema (+ versione) nel certificato in modo che l'applicazione di ricezione possa raccontare dal certificato come analizzarlo. Soluzioni:

  1. Dirotta un oid totalmente non correlato per riempire queste informazioni nell'argomento. Non mi piace, ma funzionerebbe come un fallback.
  2. Utilizzare un'estensione. Penso che gli attributi della directory dell'oggetto sembrano appropriati, ma poi sembra richiedere coppie di nomi/valore OID come suo carico utile, quindi di nuovo quali OID?
  3. Qualcos'altro del tutto?

Ancora una volta, posso far funzionare questo con il numero 1 o potrei fare un hack simile con il n. 2, ma quello che voglio davvero è un modo standard non-hack per raggiungere questo obiettivo.

È stato utile?

Soluzione 2

Ho finito per utilizzare un OID a base di Uuid con l'arco 2.25 per ciascuno dei miei due campi di metadati (schema e versione).

Il sito seguente offre un generatore UUID come comodità e collegamento di registrazione (sebbene la registrazione non sia rigorosamente richiesta):

http://www.itu.int/itu-t/asn1/cgi-bin/uuid_generate

Altri suggerimenti

Supponiamo che ti importerebbe quale schema viene utilizzato. Ciò significa che probabilmente hai esattamente quei campi nel DN - e che stanno anche inventando il respiro di ciò che è firmato dalla CA (con i vari obbligatori). Quindi supponendo che i tuoi schemi siano diversi, ciò ti consentirebbe di distinguerli.

Un'altra opzione sarebbe una (sub) ca per schema; O semplicemente usa il campo di commento Netscape :).

Nella mia esperienza, tuttavia, quando è rilevante per l'organizzazione pubblicizzare, riconoscere/ricostruire e interpretare lo schema - ciò significa generalmente che ha uno scopo commerciale. Quindi ha generalmente un nome commerciale utile. In quel caso; Prendi in considerazione una (extra) O o OU (multi variante se necessario) con quello lì dentro.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top