Windows 8 e o sinalizador EKU serverAuth do SSL?

1

Estou lendo este tutorial , que diz:

Your gateway certificate must have: An Extended Key Usage flag explicitly allowing the certificate to be used for authentication purposes. The serverAuth EKU having the OID 1.3.6.1.5.5.7.3.1 (often called TLS Web server authentication) will do that. If you are using OpenSSL to generate your certificates then include the option

No entanto, estou confuso sobre o que gateway certificate significa? Eles estão se referindo à CA, à chave privada do servidor ou à chave pública que você envia para o cliente?

O argumento que eles querem --flag serverAuth é válido em ambos

Eu não entendo a diferença entre --self e --issue

    
por Evan Carroll 29.07.2013 / 20:48

2 respostas

1

ipsec pki --self é usado para criar um certificado auto-assinado . Isso significa que o certificado é assinado com a chave privada que corresponde à chave pública contida no certificado. Isso pode ser usado para qualquer certificado, não apenas certificados de CA, mas requer que o certificado seja instalado em todos os hosts que precisam confiar nele.

ipsec pki --issue , por outro lado, usa uma chave diferente para assinar os certificados. Seu principal uso é para uma CA emitir / assinar certificados de entidade final (ou certificados CA intermediária ). Isso facilita a implantação, pois você precisa instalar o certificado de autoridade de certificação para confiar em todos os certificados emitidos por essa autoridade de certificação.

Como os dois comandos criam novos certificados, o sinalizador serverAuth Extended Key Usage ( --flag serverAuth ) é uma opção válida para ambos. Qual comando você usa para criar seus certificados de entidade final é com você, para facilitar a implantação, a segunda opção é recomendada.

Da mesma forma, a opção --san ... mencionada no tutorial adiciona uma extensão subjectAltName a um certificado, portanto ela também pode ser usada com ambos os comandos.

    
por 30.07.2013 / 09:02
0

Um certificado é essencialmente a chave pública do seu servidor (com alguns campos adicionais) que foi assinado pela sua CA. O arquivo de certificado tradicionalmente tem uma extensão .crt e está no formato:

-----BEGIN CERTIFICATE-----
MII...<snip>
-----END CERTIFICATE-----

Por "gateway", eles estão se referindo ao seu gateway IPSec.

    
por 29.07.2013 / 21:31