El Asistente de certificados intercambia la configuración de la extensión para CA/Usuarios

Estoy tratando de configurar una autoridad de certificación raíz mediante el acceso a llaveros/asistente de certificados, pero tengo algunos problemas.

Al crear la autoridad, el asistente le pide que ingrese la configuración de extensión de Uso de clave y Uso de clave extendida tanto para la CA en sí como para los usuarios de la misma. Sin embargo, al completar el certificado, esto parece haber cambiado. Entonces, la CA en sí parece tener la configuración que se ingresó para los usuarios de la CA.

Para fines de demostración, hice algunas capturas de pantalla de la configuración de una CA de prueba:

ingrese la descripción de la imagen aquí

Esta configuración producirá el certificado que se ve a continuación:

Como puede ver, los valores para el uso de claves y las extensiones de uso de claves extendidas provienen de los valores ingresados ​​para los usuarios de esta CA. Mientras que los valores para las restricciones básicas y el nombre alternativo del sujeto parecen haberse tomado correctamente de los valores ingresados ​​para la propia CA.

Ahora tengo algunas preguntas sobre esto:

  • ¿Es esto un error en el asistente de certificados y las extensiones 2 y 3 a continuación se tomaron incorrectamente del asistente? (Si es así tendré que usar OpenSSL)
  • Si no, ¿cuál es la razón por la que el certificado mostraría los valores predeterminados que usa para los certificados que emitirá? Y en ese caso, ¿el campo Uso de clave en el n.° 1 a continuación representa los valores correctos ingresados ​​para la CA?
  • ¿Los valores de usuario ingresados ​​para esas 2 extensiones afectan los certificados emitidos de alguna manera? (Si se cambian los valores predeterminados para el certificado emitido). La razón por la que pregunto esto es porque he leído en alguna parte que la extensión de uso de clave establece valores predeterminados para los certificados emitidos, mientras que la extensión de uso de clave extendida establece restricciones para los certificados emitidos.

ingrese la descripción de la imagen aquí

Gracias por eso @klanomath. Esa es, con mucho, la explicación más clara que he visto sobre este tema. Aunque todavía tengo que encontrar una buena explicación de lo que hace Non-Repudiation con, por ejemplo, correos electrónicos y dónde más podría usarse. Pero todavía parece haber un problema, incluso si el Uso/Propósito en sí mismo cambió automáticamente debido a las dependencias, entonces el asistente de certificados todavía tomó el indicador de criticidad de los campos incorrectos.

Respuestas (1)

Así que he estado investigando esto más a fondo y, por lo que leo aquí y allá, estoy bastante seguro de que no se supone que esté haciendo esto. He informado este error a Apple y si alguna vez recibo una respuesta de ellos, actualizaré esta publicación.

Si alguien con el mismo problema encuentra esta publicación, esta es la solución temporal que utilicé:

  1. Cree la autoridad de certificación y para cualquier extensión que le proporcione dos pantallas, ingrese los mismos valores en ambas. Esos deben ser los valores que desea en el certificado en sí.
  2. Cuando termine, vaya ~/Library/Application Support/Certificate Authority/[ca name]y edite el archivo de plantilla allí para los valores que realmente deseaba ingresar en la segunda pantalla de cada extensión.
El Asistente de certificados intercambia la configuración de la extensión para CA/Usuarios
RespuestasAquíPolítica de privacidad1y, 0v