Política do assunto do emissor no certificado de CA auto-assinado

2

Quando eu construo um certificado auto-assinado para uma CA interna, devo fazer com que o DN do emissor corresponda ao DN na solicitação, eles devem ser diferentes ou não há nenhuma convenção para uma ou outra?

    
por Dustin Oprea 07.05.2014 / 21:51

1 resposta

2

Aqui estão as definições de RFC 5280 (Setião 3.2) :

   Self-issued certificates are CA certificates in which
   the issuer and subject are the same entity.  Self-issued certificates
   are generated to support changes in policy or operations.  Self-
   signed certificates are self-issued certificates where the digital
   signature may be verified by the public key bound into the
   certificate.  Self-signed certificates are used to convey a public
   key for use to begin certification paths.

Então, sim, por definição, como um certificado autoassinado é um certificado específico emitido pelo usuário, o DN do Emissor deve corresponder ao DN do assunto.

(Se esse DN de assunto precisa estar no CSR é um assunto diferente, pois (a) as CAs não têm nenhuma obrigação de manter o DN de assunto exato ao transformar um CSR em um certificado (na verdade, eles devem verificar tudo eles colocam em um certificado por outros meios) e (b) as etapas que transformam um CSR em um certificado auto-assinado têm mais a ver com a forma como openssl é usado para isso e como ele é configurado.Isso é realmente apenas um detalhe. )

Se você deseja que sua própria CA seja auto-assinada ou auto-emitida, é sua escolha. Geralmente faz sentido fazê-lo (pelo menos por clareza). Em princípio, os certificados de CA usados como âncoras de confiança por partes remotas não precisam ser autoassinados (consulte a seção 6):

   The selection of a trust anchor is a matter of policy: it could be
   the top CA in a hierarchical PKI, the CA that issued the verifier's
   own certificate(s), or any other CA in a network PKI.  The path
   validation procedure is the same regardless of the choice of trust
   anchor.
    
por 16.05.2014 / 03:37