J'ai une autorité de certification et je voudrais configurer LCR . Existe-t-il un moyen de faire cela dans Keychain Access ? (Je suis sous OS X Server).
Parfait. Clair et précis. Merci pour votre aide :)
Réponses
Trop de publicités?Malheureusement, Keychain Access (Certificate Assistant) n'a pas la possibilité d'inclure un numéro d'appel d'urgence. Point de distribution des LCR à l'intérieur d'un la section des extensions du certificat en certificats qu'il génère. Vous remarquerez probablement que votre autorité de certification actuelle n'a pas de LCR. point de distribution spécifié (même si vous avez activé la signature de la LCR comme une utilisation autorisée de ce certificat pendant la création).
Ça marche !
Il est intéressant de noter que, lorsqu'il est configuré en tant que maître Open Directory, OS X Server crée automatiquement une autorité de certification auto-signée ainsi qu'une autorité de certification intermédiaire (Intermediate CA). qui possèdent tous deux un point de distribution de LCR (avec un format similaire à : http://server.example.com:1640/rfc2585/Example.crl. ) Ces certificats ne sont pas générés par l'autorité de certification, mais par l'Autorité de Certification. xscertd-helper qui est bifurqué par slapconfig pendant l'installation et la configuration de l'Open Directory. Si votre machine exécutait déjà Open Directory, vous pourriez utiliser slapconfig (principalement xscertd-helper ) à :
- Créer une autorité de certification auto-signée
- Signer un cert d'autorité intermédiaire (contenant tous deux des points de distribution de LCR sur le serveur OD "server.example.com")
- Stockez les deux certificats dans le trousseau de clés du système et dans le conteneur LDAP "Autorités de certification".
- Créer et mettre à jour les LCR à
/var/db/crlsautomatiquement - Répondre à SCEP sur le port 1640 (
xscertd)
De la slapconfig la commande que vous pouvez utiliser pour recréer la configuration de l'autorité de certification utilisée par Open Directory ( note : ceci fait partie du processus de configuration du DO et n'est pas nécessaire dans la plupart des situations. ) est :
-createrootcertauthority <Certificate Authority Name> <Certificate Authority Admin Email> <Certificate Authority Organization Name>
Create a CA on the OD master.Malheureusement, slapconfig vérifiera que la machine est un maître OD avant de permettre à cette configuration de commencer. Bien que vous puissiez l'inciter à effectuer quelques étapes en définissant de faux drapeaux dans les fichiers plist ( /Library/Preferences/com.apple.openldap.plist ), le logiciel fait finalement LDAP demande au nœud local et ne trouve pas le nœud qui répond (ou ne trouve pas l'adresse du nœud local). certificationAuthority classe d'objets).
Il existe un utilitaire nommé xscertadmin qui peut être utilisé (par des humains !) pour ajouter des éléments à la liste de distribution des LCR. Cependant, ce logiciel dépend (encore une fois) du fait que votre ordinateur soit un OD master (et exécute xscertd ). D'après ce que je peux voir, Apple stocke plusieurs éléments de données dans le trousseau système (préférences d'identité pour les certs OD CA et IA, la phrase de passe utilisée pour sécuriser chaque clé privée, ainsi que les certificats eux-mêmes) ainsi que dans la base de données LDAP (CRL, certs CA). Il semble que cet utilitaire ne soit réellement destiné qu'à lire et écrire les données des certificats et CRL vers/depuis le nœud LDAP local et le trousseau système.
L'inconvénient de la configuration OD est qu'elle ne semble pas fournir de points de distribution CRL à l'intérieur des certificats qui sont créés par l'AC intermédiaire (c'est-à-dire le certificat machine du serveur OD ; un certificat de signature de code à utiliser avec Profile Manager), ce qui ne semble pas être d'une grande utilité.
Manivelle à la main
Bien sûr, cela n'empêche pas d'utiliser openssl sur la ligne de commande pour gérer vos certificats. La gestion des certificats peut également être quelque peu automatisée en utilisant fichiers de configuration openssl . Cependant, vous devrez toujours garder la trace des certificats que vous avez émis et de ceux qui ont été révoqués.
Vous pouvez exporter les certificats et les clés de votre autorité de certification actuelle à partir de Keychain Access et (étant donné qu'elle a été créée avec la capacité d'usage de signer des LCR) l'utiliser pour gérer la signature de vos certificats. Malheureusement, cela ne vous donnera pas la possibilité d'utiliser l'interface conviviale de Certificate Assistant.
Bien qu'il soit probablement possible d'imiter la configuration utilisée par Apple (stockage des clés de l'autorité de certification dans le trousseau), lors de la signature de certificats avec OpenSSL, les contournements qui devraient être effectués pour obtenir les clés de manière à ce que openssl peut signer serait un peu de travail, et peut minimiser le retour.
Patryk
Points
121
Avez-vous essayé d'exécuter le crl à partir du terminal ? Il y a aussi beaucoup de tutoriels sur la façon de le faire sur un Mac :
Essaie celle-là : http://diarhea.tumblr.com/post/22191121364/how-to-set-up-a-ca-with-crl-for-its-certificates-on-mac
Et peut-être ici pour Keychain Access : http://derflounder.wordpress.com/2011/03/24/setting-ocsp-and-crl-certificate-settings-in-keychain-access/
0 votes
Utilisez-vous l'Open Directory ? Si oui, les certificats CA générés automatiquement pour OD sont-ils utilisés pour signer d'autres certificats ? Je suppose que vous utilisez "Certificate Assistant" pour créer/signer des certificats ?
0 votes
@EddieKelley Non, l'OD ne fonctionne pas. Certificate Assistant est en train de créer/signer, correct
2 votes
Je viens de perdre le droit de commenter sauf sur cette question, donnez-moi une bonne réponse :D