Мы можем выдать создание сертификата SSL под Root CA не имеет расширенного использования ключа (проверка подлинности сервера)
У меня есть один корневой сертификат, промежуточный CA и SSl сертификат с атрибутом ниже.
Корневой сертификат:
Расширенное использование ключа (Аутентификация клиента, TimeStamping)
Средний CA
Расширенное использование ключа (аутентификация сервера, временная метка аутентификации клиента)
Сертификат SSL.
Расширенное использование ключа (аутентификация сервера, временная метка аутентификации клиента)
Я получаю ниже ошибка в Chrome(Img Attached), но то же самое работает в Firefox, хотя я добавил и Root и Intermediate CA в хранилище доверенных сертификатов Microsoft.
Я не включил аутентификацию сервера в корневой сертификат в качестве расширенного ключа. Есть ли способ создать ssl-сертификат под этим корнем. Пожалуйста, помогите
1 ответ
Нет. Если сертификат CA (корневой или промежуточный) содержит расширение расширенного использования ключа, то выпущенные сертификаты могут иметь только подмножество этих EKU (если только EKU CA не имеет EKU "любое использование").
Как правило, корневой сертификат не имеет расширения EKU (подходит для всех целей), и если промежуточный продукт принадлежит одной и той же компании, он также часто не имеет расширения EKU. Если промежуточный ЦС является партнерством по выдаче, то выдающий ЦС будет часто ограничивать подчиненный ЦС.
Например, сертификат TLS для www.microsoft.com (2018-06-05), где используется соглашение о делегированном сертификате CA:
- www.microsoft.com
- EKU: аутентификация сервера TLS, аутентификация клиента TLS
- Microsoft IT TLS CA 4
- EKU: аутентификация сервера TLS, аутентификация клиента TLS, подпись OCSP
- Балтимор CyberTrust Root
- (без расширения EKU)
Сравните с www.wikipedia.org:
- *.wikipedia.org
- EKU: аутентификация сервера TLS, аутентификация клиента TLS
- Проверка организации GlobalSign CA - SHA256 - G2
- (без расширения EKU)
- GlobalSign Root CA
- (без расширения EKU)