Стандартный способ указать версию и «схему» для сертификата X509

StackOverflow https://stackoverflow.com/questions/9343345

  •  27-10-2019
  •  | 
  •  

Вопрос

У меня есть система, в которой сертификаты x509 могут иметь ряд «схемы», где схема - это набор точных OID, которые требуются/необязательны по предмету сертификата. Приложение, которое проверяет эти сертификаты, должно знать, какую схему (и какую версию этой схемы) использовалась для данного сертификата.

Например, схема A требует CN, O, OU и Schema B требует CN, UID, O, C, ST.

Я ищу стандартный способ кодировать схему (+ версию) в сертификате, чтобы приемочное заявление могло сказать из сертификата, как ее проанализировать. Решения:

  1. Убить немного не связанного OID, чтобы внести эту информацию в тему. Мне это не нравится, но это будет работать как хакерская запасная сторона.
  2. Используйте расширение. Я думаю, что атрибуты каталога предметов выглядят так, как будто это может быть уместно, но тогда, похоже, это все еще требует пары имени/значения OID в качестве его полезной нагрузки, так что опять же, какие OID?
  3. Что -то еще полностью?

Опять же, я могу сделать эту работу с № 1 или сделать аналогичный взлом с #2, но я действительно хочу, чтобы это стандартный не HACK, чтобы достичь этой цели.

Это было полезно?

Решение 2

В итоге я использовал OID на основе UUID под 2,25 дуги для каждого из моих двух моих полей метаданных (схема а также версия).

На сайте ниже предлагается генератор UUID в качестве удобства и ссылки на регистрацию (хотя регистрация не требуется строго):

http://www.itu.int/itu-t/asn1/cgi-bin/uuiid_generate

Другие советы

Я предполагаю, что вы будете заботиться о том, что используется схема. Так что это означает, что у вас, вероятно, есть именно те поля в DN - и что они также составляют дыхание именно то, что подписано CA (с обязательным вариантом). Так что предполагая, что ваши схемы разные - это позволило бы вам их различить.

Другим вариантом будет (суб) CA CA по схеме; Или просто используйте поле комментариев NetScape :).

По моему опыту, однако - когда организация имеет отношение к тому, чтобы организация, рекламирующая, распознавать/реконструировать и интерпретировать схему - это обычно означает, что она имеет некоторую бизнес -цель. Таким образом, это обычно имеет полезное название бизнеса. В этом случае; Рассмотрим (дополнительный) O или OU (мульти вариант, если это необходимо) с этим.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top