Помощник по сертификатам меняет настройки расширения для ЦС / пользователей

Я пытаюсь настроить корневой центр сертификации с помощью Keychain Access/Certificate Assistant, но у меня возникают проблемы.

При создании полномочий помощник просит вас ввести параметры расширения использования ключа и расширенного ключа как для самого ЦС, так и для его пользователей. Однако после завершения сертификата это, кажется, поменялось местами. Таким образом, сам ЦС, похоже, имеет настройки, которые были введены для пользователей ЦС.

Для демонстрации я сделал несколько скриншотов настройки тестового ЦС:

введите описание изображения здесь

Эта настройка даст сертификат, показанный ниже:

Как видите, значения для использования ключа и расширения расширенного использования ключа исходят из значений, введенных для пользователей для этого ЦС. В то время как значения для основных ограничений и альтернативного имени субъекта, кажется, правильно взяты из значений, введенных для самого CA.

Теперь у меня есть несколько вопросов по этому поводу:

  • Является ли это ошибкой в ​​помощнике по сертификатам, и расширения 2 и 3 ниже неправильно взяты из помощника? (Если это так, мне придется использовать OpenSSL)
  • Если нет, то по какой причине в сертификате будут отображаться значения по умолчанию, которые он использует для сертификатов, которые он будет выдавать? И в этом случае, представляет ли поле «Использование ключа» под номером 1 правильные значения, введенные для ЦС?
  • Влияют ли значения пользователя, введенные для этих двух расширений, на выданные сертификаты? (Если изменены значения по умолчанию для выданного сертификата). Причина, по которой я спрашиваю об этом, заключается в том, что я где-то читал, что расширение использования ключа устанавливает значения по умолчанию для выданных сертификатов, в то время как расширение расширенного использования ключа устанавливает ограничения для выданных сертификатов.

введите описание изображения здесь

Спасибо за это @klanomath. Это, безусловно, самое ясное объяснение, которое я видел по этой теме. Хотя мне еще предстоит найти хорошее объяснение того, что делает Non-Repudiation, например, с электронными письмами, и где еще его можно использовать. Но, похоже, проблема все же есть, даже если Usage/Purpose само менялось автоматически из-за зависимостей, тогда помощник по сертификатам все равно брал индикатор критичности из неправильных полей.

Ответы (1)

Итак, я изучал это дальше, и из того, что я читал здесь и там, я почти уверен, что он не должен этого делать. Я сообщил об этой ошибке в Apple, и если я когда-нибудь получу от них ответ, я обновлю этот пост.

Если кто-то с такой же проблемой найдет этот пост, это временное решение, которое я использовал:

  1. Создайте центр сертификации и для любого расширения, которое дает вам два экрана, введите одинаковые значения в обоих. Это должны быть значения, которые вы хотите указать в самом сертификате.
  2. Когда закончите, перейдите ~/Library/Application Support/Certificate Authority/[ca name]и отредактируйте файл шаблона для значений, которые вы действительно хотели ввести во второй экран каждого расширения.
Помощник по сертификатам меняет настройки расширения для ЦС / пользователей
СпросиСетьПолитика конфиденциальности1y, 0v