Wie Problem-Zertifikats für eine Entität mit custom-DN-format?

In unserer Anwendung, die wir erstellen Zertifikate für interne Entitäten wie Plattform und Nutzer. Unsere interne Entitäten werden identifiziert, indem Sie benutzerdefinierte DNs:

  • Plattform DN: p=platformName
  • Benutzer-DN: cn=userName,p=platformName

Wir haben versucht, zu generieren X. 509-Zertifikat für die Plattform oder ein Benutzer mit den gängigen tools wie openssl, Dienstprogramm keytool, Implementierung von javax.Sicherheit (BouncyCastle), z.B.:

keytool -genkey -dname "p=platformName" -alias platformName

Diejenigen allerdings, die tools nicht akzeptieren/erkennen /Stichwort "P" oder verlangen, dass bestimmte keywords wie "CN" im Zertifikat subject DN.

Wie Problem-Zertifikats für eine Entität mit custom-DN-format?

Hinweis: brauchen Wir nicht zu haben-DNs mit standard-keywords (CN, OU, etc.), denn alle Zertifikate werden für die interne Verwendung unserer Produkte (wird nicht validiert durch 3rd-party oder in certificate chain).

InformationsquelleAutor dzieciou | 2012-01-05
  1. 4

    Brauchen wir nicht zu haben-DNs mit standard-keywords (CN, OU, etc.)

    Wie Problem-Zertifikats für eine Entität mit custom-DN-format?

    Attribute oder Felder, die angezeigt werden, eine Präsentation-level-Details. Es gibt keine definierten DN Feld per se. Die Felder verwendet, um die form der DN sind ein mashup von anderen Parametern und sind willkürlich gewählt. Die häufigsten sind C, O, OU, CN usw.

    Attribute oder Felder wie C, O, OU, CN haben bekannte OIDs zugeordnet. Es gibt andere OIDs, die Sie verwenden können, die anerkannt sind durch Werkzeuge. Zum Beispiel, die ITU X. 520 Liste Hunderte von Ihnen. Es gibt andere standards, erklären Sie auch. Zum Beispiel, die E-Mail-Adresse-Attribut ist aus PKCS 9 und ein OID von 1.2.840.113549.1.9.1.

    Als Burhan Khalid angegeben, Sie können auch fügen Sie Ihren eigenen Namen/Wert-Paare, indem Sie sich OIDs (einige hand waiving). Aber auch andere Präsentations-tools nicht wissen, wie um Sie anzuzeigen. Das heißt, Sie wissen nicht, den "friendly name".

    Weil andere tools nicht erkennen, Ihre OID für die Nutzung der Plattform (oder "p=..."), das ist, warum Sie immer ... diese tools nicht akzeptieren/erkennen /Stichwort "P". Die tools, die don T wissen, wie man mit benutzerdefinierten Parametern.

    InformationsquelleAutor jww
  2. 4

    Kann ich nur sprechen für openssl, wie ich bin nicht vertraut mit anderen tools.

    Aus der openssl docs

    ASN1-OBJECT-CONFIGURATION-MODUL

    Dieses Modul hat den Namen oid_section. Der Wert dieser variable
    verweist auf eine Sektion mit Namen-Wert-Paare von OIDs: der name ist
    die OID kurzen und langen Namen, der Wert ist der numerische form der
    OID. Obwohl einige der openssl-Dienstprogramm sub-Befehle bereits
    Ihre eigenen ASN1-OBJECT-Abschnitt Funktionen nicht alle tun. Durch die Verwendung der
    ASN1-OBJECT-configuration-Modul alle openssl-Dienstprogramm sub-Befehle
    sehen Sie die neuen Objekte sowie alle kompatiblen Anwendungen.

    Also, was Sie tun müssen ist, erstellen Sie diese oids in /etc/openssl.conf oder wo auch immer die Datei für Ihre Plattform, dann openssl nicht geben Ihnen die Subject attribute p has no known NID, skipped Nachricht, die ich vermute, ist, was Sie jetzt zu bekommen.

    • Graat, vielen Dank. Wäre toll zu wissen, wie Sie das gleiche tun mit den anderen genannten tools. Kennt das jemand?
    InformationsquelleAutor Burhan Khalid
Schreibe einen Kommentar