Konfiguruję swój pierwszy urząd certyfikacji. Jego celem będzie wydawanie certyfikatów naszym klientom, którzy będą ich używać do uzyskiwania dostępu do naszej usługi EDI za pośrednictwem https. Muszę więc wygenerować certyfikaty klienta ssl. Cały proces podpisywania certyfikatów działa do tej pory, a certyfikaty można z powodzeniem wykorzystać do uzyskania dostępu do naszej usługi, ale martwię się o jedno:
Wygenerowane cele certyfikatu są sposobem na ogólne:
$ openssl x509 -purpose -noout -in client.crt.pem
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : Yes
S/MIME signing CA : No
S/MIME encryption : Yes
S/MIME encryption CA : No
CRL signing : Yes
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Uważam, że w moim przypadku nie powinny istnieć inne cele niż klient SSL i podpisywanie S / MIME. Czy się mylę i tak powinno pozostać?
Jeśli mam rację i powinienem wyłączyć inne cele, co powinienem umieścić w mojej konfiguracji openssl.cnf?
Oto moja obecna konfiguracja (trochę rozebrana):
[ CA_edi ]
# here was directory setup and some other stuff, cut it for clarity
x509_extensions = usr_cert # The extentions to add to the cert
name_opt = ca_default # Subject Name options
cert_opt = ca_default # Certificate field options
# Extension copying option: use with caution.
# copy_extensions = copy
# stripped rest of config about validity days and such
[ usr_cert ]
basicConstraints=CA:FALSE
nsCertType = client, email
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, keyAgreement
Co robię źle, że wygenerowane certyfikaty pozwalają na użycie serwera?
openssl x509 -text -nameopt multiline -certopt no_sigdump -certopt no_pubkey -noout -in one_of_your_client_certificates.pem
i sekcję rozszerzeń z openssl.cnf
pliku, zobaczę, czy mogę udzielić bardziej szczegółowych porad.