Saya mengkonfigurasi CA pertama saya. Tujuannya adalah untuk mengeluarkan sertifikat untuk klien kami, yang akan menggunakannya untuk mengakses layanan EDI kami melalui https. Jadi saya perlu membuat sertifikat klien ssl. Seluruh proses penandatanganan sertifikat berfungsi sekarang, dan sertifikat dapat berhasil digunakan untuk mengakses layanan kami, tetapi saya khawatir tentang satu hal:
Tujuan sertifikat yang dihasilkan adalah cara umum:
$ openssl x509 -purpose -noout -in client.crt.pem
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : Yes
S/MIME signing CA : No
S/MIME encryption : Yes
S/MIME encryption CA : No
CRL signing : Yes
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Saya merasa bahwa seharusnya tidak ada tujuan lain selain klien SSL dan S / MIME yang menandatangani kasus saya. Apakah saya salah dan ini harus tetap seperti itu?
Jika saya benar dan saya harus menonaktifkan tujuan lain, apa yang harus saya masukkan dalam konfigurasi openssl.cnf saya?
Ini konfigurasi saya saat ini (sedikit dilucuti):
[ CA_edi ]
# here was directory setup and some other stuff, cut it for clarity
x509_extensions = usr_cert # The extentions to add to the cert
name_opt = ca_default # Subject Name options
cert_opt = ca_default # Certificate field options
# Extension copying option: use with caution.
# copy_extensions = copy
# stripped rest of config about validity days and such
[ usr_cert ]
basicConstraints=CA:FALSE
nsCertType = client, email
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, keyAgreement
Apa yang saya lakukan salah bahwa sertifikat yang dihasilkan memungkinkan untuk penggunaan server?
openssl x509 -text -nameopt multiline -certopt no_sigdump -certopt no_pubkey -noout -in one_of_your_client_certificates.pem
dan bagian ekstensi dari openssl.cnf
file Anda , saya akan melihat apakah saya dapat memberikan saran yang lebih spesifik.