Name Constraints が何であるかについては、以前オレオレ認証局の適切な運用とName Constraintsに書いたとおり。
本稿では、Name Constraintsを使うCAの運用手順を説明する。
1. CA鍵と証明書の作成
1.1. CAの秘密鍵を作成
% openssl genrsa -out ca.key 2048
1.2. openssl.cnfにCA証明書に設定する属性を指定するセクションを追記
[private_ca] subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:always,issuer basicConstraints=critical,CA:true nameConstraints=critical,permitted;DNS:.example.com注:nameConstraintsの項がCAが証明書を発行できる対象のドメインを指定。この例では.example.com。
1.3. CA証明書の作成
% openssl req -new -x509 -days 3650 -key ca.key -out ca.crt \ -extensions private_ca
2. 証明書管理用ディレクトリを作成
% mkdir -p demoCA/newcerts % touch demoCA/index.txt % echo 00 > demoCA/serial注:ディレクトリ名(demoCA)はopenssl.cnfの設定で変更可能。
3. 証明書発行要求を受け取って証明書を発行
% openssl ca -keyfile ca.key -cert ca.crt \ -extensions usr_cert -policy policy_anything -days 365 \ -md sha256 -in foo.example.com.csr -out foo.example.com.crt
以上です。
難点としては、SafariおよびOSXで動作するChromeではこのルート証明書で署名されたサーバ証明書を正当なものとして認識してくれないところ(手動でサーバ証明書を登録すれば使えるはず)。他のウェブブラウザ+モダンなOSなら問題ないはず。
証明書を認証する側が古い OpenSSL (少なくとも CentOS 7 が該当)だと name constraints は「DNS:example.com」でないと駄目でした。「DNS:.example.com」 だと CN=www.example.com な証明書を permitted subtree violation で拒否します。
ReplyDeleteRFC 5280 の記述は曖昧ですが、DNS の場合はこれ(先頭のドットなし)でサブドメインも含めマッチするように読めます。
なお、CentOS 7 の Mozilla NSS はどちらでも大丈夫でした。
OpenSSL - Dev - nameConstraints : leading "." in permission list items
http://openssl.6102.n7.nabble.com/nameConstraints-leading-quot-quot-in-permission-list-items-td52739.html
Properly handle RFC5280 DNS Name Constraints that start with a dot as in mozilla::pkix by apapagiannakis · Pull Request #111 · openssl/openssl
https://github.com/openssl/openssl/pull/111
コメントありがとうございます。
Deleteおっしゃるとおり、RFCの記述だとdNSNameの場合はドット不要ですね。ドメイン名制限の目的が、「そのドメイン配下に属するホスト名についてのみ証明書発行を許可する」という点にあることを考えると、先行するドットが不要という仕様は合理的かと思いました(メールアドレスの場合と異なるのは混乱を招きそうですが)。
というわけで、ドットをつけないのが正しいと考えるべきなのかなと思うのですが、いかがでしょう? つけたものも name constraints に含めるべき理由ってありますでしょうか。
ドットなしでサブドメインも含むのが正しい、に同意します。ただし、古い OpenSSL とは逆にドットありでないと拒否する実装が存在するかもしれないので、両方とも含めておくのが無難かもしれません。
ReplyDeleteRFC 的には、ドットなしでサブドメインにもマッチする仕様は合理性を感じませんね、個人的には。完全一致する名前を許可あるいは拒否したい場合も考えられなくはないですし。
Indian Songs
ReplyDeleteHD Video Songs
Mp3 Songs
Java Games
Tv Shows
Marathi Songs
michael kors outlet
ReplyDeleteoakley sunglasses
jordan 8s
kobe bryant shoes
cheap oakley sunglasses
giuseppe zanotti
lebron james shoes
coach outlet
louis vuitton
louis vuitton outlet
fitflops
toms shoes
air jordan 13
adidas ultra boost
michael kors outlet clearance
oakley sunglasses
coach factory outlet
true religion shorts
christian louboutin shoes
coach factory outlet
hermes bag
cheap ray ban sunglasses
ralph lauren sale
louis vuitton bags
coach outlet
designer handbags
ghd hair straighteners
toms outlet
ray ban sunglasses outlet
fitflops sale clearance
asics running shoes
christian louboutin sale
jordans for sale
cheap oakley sunglasses
louis vuitton outlet
adidas uk
cheap nfl jerseys
nike factory outlet
tiffany outlet
ralph lauren uk
20168.2wengdongdong
أفضل شركة تنظيف عمائر بالمدينة
ReplyDeleteشركة تنظيف عمائر بالمدينة
ارخص شركة تنظيف عمائر بالمدينة
ارخص شركة نقل اثاث بالمدينة
أفضل شركة نقل اثاث بالمدينة
شركة تنظيف خزانات بالمدينة المنورة
ReplyDeleteأفضل شركة غسيل سجاد بالمدينة
أفضل شركة نقل عفش في المدينة
ReplyDeleteارخص شركة نقل عفش في المدينة
شركة نقل عفش في المدينة
افضل شركة مكافحة حشرات بالمدينة
ارخص شركة مكافحة حشرات بالمدينة
شركة مكافحة حشرات بالمدينة
ReplyDeleteارخص شركه نقل عفش بالمدينة
شركه نقل الاثاث بالمدينه
شركه نقل عفش بالمدينة
The blog or and best that is extremely useful to keep I can share the ideas of the future as this is really what I was looking for, I am very comfortable and pleased to come here. Thank you very much.
ReplyDeleteanimal jam | five nights at freddy's | hotmail login
dan tidak cocok untuk beban dinamis serta untuk pemakaian pada temperatur tinggi.Harga besi unp baja
ReplyDeleteSupplier besi beton PAS
Jual plat kapal besi baja
Jual plat kapal besi baja
Agen stainless steel
Jual besi siku baja
www.pusatbesibaja.co.id
undangan pernikahan arab
alat bantu sex pria
ReplyDeleteobat pembesar
شركة نقل عفش بالرياض وجدة والدمام والخبر والجبيل اولقطيف والاحساء والرياض وجدة ومكة المدينة المنورة والخرج والطائف وخميس مشيط وبجدة افضل شركة نقل عفش بجدة نعرضها مجموعة الفا لنقل العفش بمكة والخرج والقصيم والطائف وتبوك وخميس مشيط ونجران وجيزان وبريدة والمدينة المنورة وينبع افضل شركات نقل الاثاث بالجبيل والطائف وخميس مشيط وبريدة وعنيزو وابها ونجران المدينة وينبع تبوك والقصيم الخرج حفر الباطن والظهران
ReplyDeleteشركة نقل عفش بجدة
شركة نقل عفش بالمدينة المنورة
شركة نقل اثاث بالرياض
شركة نقل عفش بالدمام
شركة نقل عفش بالطائف
شركة نقل عفش بمكة
ReplyDeleteشركة نقل عفش بينبع
شركة نقل عفش بالخرج
شركة نقل عفش ببريدة
شركة نقل عفش بخميس مشيط
شركة تنظيف خزانات بجدة
ReplyDeleteشركات تنظيف بالطائف
نقل عفش بالرياض
شركات نقل العفش بالرياض
New check frameworks are accessible in which clients can utilize their fingerprints as ID. This framework can identify misrepresentation exchanges to guarantee secure check getting the money for.
ReplyDeleteCash Advances
Webroot.com/safe is a protection software solution that communicates with the cloud avoiding the hassle to manage the signature updates to deploy. for office setup visit office.com/setup
ReplyDeletejust information we only provide information for those who need it cara menggugurkan kandungan
ReplyDeleteA. obat telat datang bulan
B. posisi berhubungan agar cepat hamil
C. makanan dan minuman agar cepat hamil
D. panduan agar cepat hamil
E. cara agar cepat hamil
F. cara agar cepat hamil setelah selesai haid
G. cara alami untuk segera mendapat kehamilan