7 votos

StackExchange User avatar

Habilitar un punto final CRL para mi CA en Keychain Access

Preguntado el 3 de Octubre, 2013
Cuando se hizo la pregunta
2288 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Tengo una Autoridad de Certificación y me gustaría configurar CRL . ¿Hay alguna manera de hacer esto en Keychain Access? (Estoy ejecutando OS X Server).

Preguntado el 3 de Octubre, 2013 por StackExchange User

Respuestas

¿Demasiados anuncios?

4voto

Jonathan Sampson avatar
Jonathan Sampson Puntos 121800

Lamentablemente, Keychain Access (Certificate Assistant) no tiene la capacidad de incluir un Punto de distribución de CRL dentro de un sección de extensiones del certificado en los certificados que genera. Probablemente notará que su actual CA no tiene una CRL punto de distribución especificado (incluso si has habilitado la firma CRL como un uso permitido de ese certificado durante la creación).

Simplemente funciona.

Curiosamente, cuando se configura como maestro de Open Directory, OS X Server crea automáticamente una autoridad de certificación autofirmada junto con una CA intermedia - ambos poseen un punto de distribución de CRL (con un formato similar a: http://server.example.com:1640/rfc2585/Example.crl. ) Estos certificados no son generados por la Autoridad de Certificación, sino por xscertd-helper que es bifurcado por slapconfig durante la instalación y configuración de Open Directory. Si su máquina ya estuviera ejecutando Open Directory, podría utilizar slapconfig (principalmente xscertd-helper ) a:

  • Crear una autoridad de certificación autofirmada
  • Firmar un cert de autoridad intermedia (ambos contienen puntos de distribución CRL en el servidor OD "servidor.ejemplo.com")
  • Almacene ambos certificados en el llavero del sistema y en el contenedor de "Autoridades de certificación" de LDAP
  • Cree y actualice las CRL en /var/db/crls automáticamente
  • Responder a SCEP en el puerto 1640 ( xscertd )

Desde el slapconfig el comando que puede utilizar para recrear la configuración de la CA utilizada por Open Directory ( nota: esto forma parte del proceso de configuración del DO y es innecesario en la mayoría de las situaciones ) es:

-createrootcertauthority <Certificate Authority Name> <Certificate Authority Admin Email> <Certificate Authority Organization Name>
Create a CA on the OD master.

Desgraciadamente, slapconfig comprobará para confirmar que la máquina es un maestro de OD antes de permitir que esta configuración comience. Aunque puedes engañarlo para que realice algunos pasos estableciendo banderas falsas en los archivos plist ( /Library/Preferences/com.apple.openldap.plist ), el software acaba por hacer LDAP consulta al nodo local, y no encuentra el nodo que responde (o no encuentra el certificationAuthority clase de objeto).

Existe una utilidad llamada xscertadmin que puede ser utilizado (por humanos) para añadir elementos a la lista de distribución de CRL. Sin embargo, ese software depende (de nuevo) de que su ordenador sea un maestro de OD (y que ejecute xscertd ). Por lo que puedo ver, Apple está almacenando varios datos en el Llavero del Sistema (preferencias de identidad para los certificados de la CA y la IA de la DO, la frase de contraseña utilizada para asegurar cada una de las claves privadas, así como los propios certificados), así como en la base de datos LDAP (CRL, certificados de la CA). Parece que esta utilidad está realmente pensada para leer y escribir datos de certificados y CRL a/desde el nodo LDAP local y el Llavero del Sistema.

La desventaja de la configuración de la OD es que no parece proporcionar puntos de distribución de CRL dentro de ninguno de los certificados creados por la CA intermedia (es decir, el certificado de la máquina del servidor de la OD; un certificado de firma de código para su uso con Profile Manager), lo que no parece ser de mucha utilidad.

Manejarla a mano

Por supuesto, esto no descarta el uso de openssl en la línea de comandos para gestionar sus certificados. La gestión de los certificados también puede automatizarse en cierta medida utilizando archivos de configuración openssl . Sin embargo, seguirá teniendo que llevar un registro de los certificados que haya emitido y de los que hayan sido revocados.

Puede exportar los certificados y las claves de su CA actual fuera de Keychain Access, y (dado que fue creado con la capacidad de uso para firmar CRLs) puede utilizarlo para la gestión de su firma de certificados. Lamentablemente, esto no le permitirá utilizar la interfaz del Asistente de Certificados, que es muy fácil de usar.

Aunque también es probable que se pueda imitar la configuración que utiliza Apple (almacenar las claves de la CA dentro del llavero), cuando se firman certificados con OpenSSL, las soluciones que habría que realizar para sacar las claves para que openssl puede firmar sería un poco de trabajo, y puede minimizar el retorno.

Respondido el 22 de Octubre, 2013 por Jonathan Sampson (121800 Puntos )

0voto

Patryk avatar
Patryk Puntos 111

¿Intentó ejecutar el crl ¿comando desde la terminal? También hay un montón de tutoriales de cómo hacerlo en un mac:

Prueba este: http://diarhea.tumblr.com/post/22191121364/how-to-set-up-a-ca-with-crl-for-its-certificates-on-mac

Y tal vez aquí para el acceso al llavero: http://derflounder.wordpress.com/2011/03/24/setting-ocsp-and-crl-certificate-settings-in-keychain-access/

Respondido el 16 de Octubre, 2013 por Patryk (111 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X