PKI (mit OpenSSL)
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Security & Viren » PKI (mit OpenSSL) (6 Beiträge, 381 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Security & Viren  #5475509
PKI (mit OpenSSL)
kombipaket
16.05.2009, 20:32:54
Will mich mal ins Detail bei PKI einarbeiten...

Folgende Fragen:

1.) Die wichtigste: Wohin mit AIA und CDP ?

Authority Information Access (AIA) und CDP (CRL Distribution Point):
Wohin gehören die Einträge ? Ich _vermute_, daß die zu derjeweiligen CA gehören... Beispiel:
Root-CA: Publiziert CDP für die von ihr signierten Sub-CAs.
Sub-CA: Publiziert CDP für die von ihr signierten Zertifikate, AIA zeigt zu Root-CA-URI.
"Normales End-User-Zert": Keine CDP vorhanden. Evtl. AIA zeigt auf Sub-CA.

Stimmt dem so ? Oder hat jedes End-Zertifikat einen CDP-Eintrag ?

2.) Inhalt CA-Zert:

openssl x509 -in cacert.pem -text
liefert unter anderem:


Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            fa:33:c5:52:31:b4:01:2a
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: _SNIP_
        Validity
            Not Before: May 16 18:06:34 2009 GMT
            Not After : Jun 15 18:06:34 2009 GMT
        Subject: _SNIP_
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (512 bit)
                Modulus (512 bit):
                    00:a8:43:28:e5:63:3b:c6:9e:8e:8b:74:f4:92:25:
                    c2:2a:78:39:c0:b7:8f:17:37:07:44:e3:bd:07:41:
                    3e:30:ca:ca:63:33:1a:66:ae:0e:09:fb:32:fc:c0:
                    e7:cd:44:dd:dc:af:a4:35:0e:b6:a8:1f:ee:c9:6f:
                    8d:55:38:cb:c9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:TRUE
            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Key Identifier:
                F2:68:57:B3:2B:DC:F4:31:CF:A0:13:80:7D:FB:F7:00:58:86:8A:B3
            X509v3 Authority Key Identifier:
                keyid:F2:68:57:B3:2B:DC:F4:31:CF:A0:13:80:7D:FB:F7:00:58:86:8A:B3
                DirName:_SNIP_
                serial:FA:33:C5:52:31:B4:01:2A

            X509v3 CRL Distribution Points:
                URI:http://127.0.0.1/CA/crl.pem

<b>    Signature Algorithm: sha1WithRSAEncryption
        63:3e:d7:9a:b9:17:b6:e7:a0:34:d7:0c:b3:6d:55:63:d9:70:
        2a:da:15:56:6b:c5:84:ef:c8:5b:a3:16:73:65:1c:b1:93:a9:
        ee:18:6e:86:78:3e:01:fd:4b:ed:8b:ac:83:9b:d4:9b:f2:c5:
        0f:43:aa:f0:4d:72:27:7c:97:d1</b>
-----BEGIN CERTIFICATE-----
_SNIP_
-----END CERTIFICATE-----


Signatur Algorithm: Hier sehe ich, wie das Cert signiert wurde, stimmts ?

Frage 3: Key Usage:

Ich will, daß die CA nur die Sub-CAs legitimiert... also nur Sub-CAs und seine CRL signiert.
Von den Möglichkeiten für Key Usage (digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign, encipherOnly and decipherOnly.): Welche kann ich dann alle entfernen ? Reicht keyCertSign und cRL-Sign in meinem Fall ?

Zusatzfrage: Was ist nonRepudiation ???
Welche brauche ich für die Sub-CA ? Dieselben ?


Frage 4: Extended Key Usage:

Möglichkeiten wie folgt:
serverAuth             SSL/TLS Web Server Authentication.
clientAuth             SSL/TLS Web Client Authentication.
codeSigning            Code signing.
emailProtection        E-mail Protection (S/MIME).
timeStamping           Trusted Timestamping
msCodeInd              Microsoft Individual Code Signing (authenticode)
msCodeCom              Microsoft Commercial Code Signing (authenticode)
msCTLSign              Microsoft Trust List Signing
msSGC                  Microsoft Server Gated Crypto
msEFS                  Microsoft Encrypted File System
nsSGC                  Netscape Server Gated Crypto


Ich verwende also einfach serverAuth für Apache und OpenVPN, clientAuth für die PC-Clients zum Apache sowie für die OpenVPN-Clients, emailProtection für Thunderbird/Outlook - und brauche den Rest nie, stimmts ?

Frage 6: Mehrfache CDP und AIA-URIs:
Ich würde gerne CDPs und AIAs via LDAP bereitstellen... Nur klappt das im Inet ja selten (weil viele Firmen non-HTTP-Traffic blocken). Ist es üblich, für CDP und AIA mehrere URIs anzugeben - eine per LDAP und eine per HTTP ? Oder macht das bei den Anwendern in der Regel Streß (weil viele LDAP-Queries geloggt werden, die von der Firewall verworfen wurden) ?

Frage 5: Anwendung:

Ich habe meine CA - der ein Anwender vertraut - im Mailproggy drin.
Mein Anwender stolpert nun über ein User-Zertifikat, daß von meiner SUB-CA ausgestellt ist (die der Anwender _nicht_ importiert hat). Das Mailproggy checkt automatisiert den AIA-Eintrag, holt sich die SUB-CA, folgt deren AIA und stößt auf das CA-Zertifikat - woraufhin die Welt in Ordnung ist... Ist dem so ? Oder habe ich AIA ganz falsch verstanden ?
Antworten PM Alle Chronologisch
 
Melden nicht möglich
.  Re: PKI (mit OpenSSL)  (kombipaket am 16.05.2009, 21:42:14)
..  Problem gelöst...  (kombipaket am 20.05.2009, 20:38:45)
...  Re: Problem gelöst...  (hariw am 20.05.2009, 21:00:46)
....  Re(2): Problem gelöst...  (kombipaket am 21.05.2009, 06:45:48)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung