CA rădăcină autonomă nu impune setările KeyUsage din CAPolicy.inf atunci când emit certificate

Daniel

05.05.2023, 12:17

Am un CA rădăcină autonomă (RootCA) și un CA subordonat întreprinderii (SubCA). Atât Windows Server 2019.

RootCA pare să ignore setările de configurare a fișierului CAPolicy.inf atunci când încearcă să semneze CSR-ul SubCA, așa cum se arată în vizualizarea proprietăților cererii în așteptare:

CAPolicy.inf de pe RootCA (%SystemRoot%\CAPolicy.inf) este aceasta:

[Versiune]
Semnătură= „$Windows NT$”

[Siruri de caractere]
szOID_KEY_USAGE = „2.5.29.15”

[Extensii]
%szOID_KEY_USAGE% = AwIBhg==
Critic = %szOID_KEY_USAGE%

În timpul instalării RootCA, CAPolicy.inf a fost folosit pentru a face ca extensia KeyUsage a certificatului rădăcină să fie critică. Acest lucru poate fi văzut în proprietățile certificatului rădăcină, precum și în certocm.log: Politica deschisă inf: C:\Windows\CAPolicy.inf

The documentație state

CAPolicy.inf este un fișier de configurare care definește extensiile, constrângerile și altele setările de configurare la care se aplică un certificat CA rădăcină și toate certificatele emise de CA rădăcină.

Deci, de ce RootCA ignoră CAPolicy.inf atunci când emite un certificat (SubCA), în ciuda documentelor care afirmă contrariul?

109

0 + 0

firewall

pki

Puncte:1

Server

garethTheRed

05.05.2023, 17:37

Dacă CSR are BasicConstraint extensia setată la CA=Adevărat CA va fi implicit la ceea ce vedeți mai sus. Puteți suprascrie acest lucru rulând următoarele pe CA de semnare (rădăcină):

certutil -setreg policy\EditFlags -EDITF_ADDOLDKEYUSAGE

Reporniți serviciul, apoi încercați din nou.

0 + 0

Daniel

05.05.2023, 20:37

Mulțumesc pentru asta, a funcționat. Din curiozitate: puteți explica de ce se numește „Adăugați utilizarea cheii vechi” și nu, de exemplu, „Adăugați utilizarea cheii implicite” sau similar? Nu inteleg la ce se refera "vechi".

Răspunde

garethTheRed

05.05.2023, 22:07

Îmi pot imagina doar că schema inițială a fost să semneze conform cererii în orice moment. Opțiunea era disponibilă pe Server 2003, deci „Vechi” este foarte vechi - Server 2000.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Standalone Root CA does not enforce KeyUsage settings from CAPolicy.inf when issuing certificates

TH: CA หลักแบบสแตนด์อโลนไม่บังคับใช้การตั้งค่า KeyUsage จาก CAPolicy.inf เมื่อออกใบรับรอง

RO: CA rădăcină autonomă nu impune setările KeyUsage din CAPolicy.inf atunci când emit certificate

RU: Standalone Root CA does not enforce KeyUsage settings from CAPolicy.inf when issuing certificates

VI: CA gốc độc lập không thực thi cài đặt KeyUsage từ CAPolicy.inf khi cấp chứng chỉ

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.