web-dev-qa-db-ja.com

OS X上のOpenDirectoryは、既存のCAから中間CA証明書を使用するように合理的に設定できますか?

OpenDirectoryを設定しようとしています。それは独自のCAを作成し、次にそれ自身のCAによって署名された証明書を含む中間CAを作成したいようです。私たちの既存の内部CAから中間のCA証明書を生成し、代わりに使用することを好みます。これにはいくつかの利点があります(既存のCA CERTはすでにマシンに配布されているため、クライアントに接続するときに新しい証明書を信頼する必要はありません)。

ただし、この証明書の設定も見つかりません。また、他の方法やその他の方法を参照してください。

これは合理的なことですか、やろうとしたら、どうやってそれをしますか?

1
Nick Phillips

私は誰もこの質問に答えていないことがわかりました...はい、これはあなたが自動的に生成された証明書で使われているフィールドと一致する限り、それは合理的なことです。私が今これを修正してから長い時間が経ちましたので、私はすべての詳細を覚えていません。私が覚えていないことの一つは、その時点で、OpenDirectoryは128ビットのシリアル番号を持つ証明書を使用することを拒否します。 OS X Server 5.0は、これが明らかに固定されている可能性が高い最初のバージョンです。

この目的のために機能するOpenSSL設定があります。これは、需要がある場合にここに投稿できるという点にサニタイズしようとします。

Red Kestrelの証明書デコーダ(at https://certlogik.com/decoder/ - - http://redkestrel.co.uk )==)働きに非常に役立ちました実際の設定が必要なのか、およびシリアルフィールドの問題を識別する場合には、次のようなものです。

1
Nick Phillips