web-dev-qa-db-ja.com

Windows8とSSLのEKUserverAuthフラグ?

私が読んでいる このチュートリアル これは、

ゲートウェイ証明書には、次のものが必要です。認証目的で証明書を使用することを明示的に許可する拡張キー使用フラグ。 OID 1.3.6.1.5.5.7.3.1(TLS Webサーバー認証と呼ばれることが多い)を持つs​​erverAuth EKUがそれを行います。OpenSSLを使用して証明書を生成している場合は、オプションを含めます

しかし、私はgateway certificateが何を意味するのか混乱していますか?それらは、CA、サーバーの秘密鍵、またはクライアントに送信する公開鍵を参照していますか?

彼らが望む引数--flag serverAuthは両方で有効です

--self--issueの違いがわかりません

1
Evan Carroll

ipsec pki --self は、自己署名証明書を作成するために使用されます。これは、証明書が、証明書に含まれている公開鍵と一致する秘密鍵で署名されていることを意味します。これは、CA証明書だけでなく、すべての証明書に使用できますが、証明書を信頼する必要のあるすべてのホストにインストールする必要があります。

ipsec pki --issue 一方、証明書に署名するために別のキーを使用します。その主な用途は、CAがエンドエンティティ証明書(または 中間CA 証明書)を発行/署名することです。これにより、CA証明書をインストールするだけで、そのCAによって発行されたすべての証明書を信頼できるため、展開が容易になります。

両方のコマンドが新しい証明書を作成するため、serverAuth拡張キー使用フラグ(--flag serverAuth)は両方に有効なオプションです。エンドエンティティ証明書の作成に使用するコマンドはユーザー次第です。展開を容易にするために、2番目のオプションをお勧めします。

同様に、チュートリアルで説明されている--san ...オプションは、証明書にsubjectAltName拡張子を追加するため、両方のコマンドで使用できます。

1
ecdsa

証明書は基本的に、CAによって署名されたサーバーの公開鍵(いくつかの追加フィールドを含む)です。証明書ファイルには、従来、.crt拡張子が付いており、次の形式になっています。

-----BEGIN CERTIFICATE-----
MII...<snip>
-----END CERTIFICATE-----

「ゲートウェイ」とは、IPSecゲートウェイを指します。

0
EEAA