Zertifikatserweiterungen (Extensions) bestimmen den Verwendungszweck eines Zertifikats. Beim Signieren eines CSR werden die in einer openssl-Konfigurationsdatei unter dem Parameter x509_extensions hinterlegten Werte in das anschlie\u00dfend erstellte Zertifikat geschrieben.
\n
\nFolgende Erweiterungen werden standardm\u00e4\u00dfig unterst\u00fctzt. Dar\u00fcberhin haben verschiedene Hersteller eigene Erweiterungen registiert, beispielsweise existieren „Netscape Certificate Extensions“.<\/p>\n
– Basic Contrains
\n– Key Usage
\n– Extended Key Usage
\n– Subject Key Identifier
\n– Authority Key Identifier
\n– Subject Alternative Name
\n– Issuer Alternative Name
\n– Certificate Policies
\n– CRL Distribution Point<\/p>\n
F\u00fcr fast jede der Erweiterungen kann ein Critical Bit gesetzt werden. Ist dieses Flag gesetzt und wird die Bedingung nicht erf\u00fcllt bzw. kann sie nicht \u00fcberpr\u00fcft werden, ist kein Verbindungsaufbau m\u00f6glich bzw. die Verbindung wird als nicht-vertrauensw\u00fcrdig deklariert.<\/p>\n
Basic Contrains (Basiseinschr\u00e4nkungen)<\/strong> Key Usage (Schl\u00fcsselverwendung)<\/strong> decipherOnly<\/em>: Ist keyAgreement gesetzt, darf der Public-Key innerhalb eines Schl\u00fcsselaustausche zur Entschl\u00fcsselung von Daten verwendet werden. Andernfalls undefiniert.<\/p>\n encipherOnly<\/em>: Ist keyAgreement gesetzt, darf der Public-Key innerhalb eines Schl\u00fcselaustausches zur Verschl\u00fcsselung von Daten verwendet werden. Andernfalls undefiniert.<\/p>\n cRLSign<\/em>: Public-Key kann verwendet werden, um CRLs zu verifizieren.<\/p>\n keysCertSign<\/em>: Public-Key kann verwendet werden, um Zertifikate zu verifizieren.<\/p>\n keyAgreement<\/em>: Zur Verwendung beim Schl\u00fcsselaustausch.<\/p>\n dataEncipherment<\/em>: Zur Verwendung von „normalen“ Daten, also kein Schl\u00fcsseln.<\/p>\n keyEncipherment<\/em>: Public-Key wird zum Schl\u00fcsselmanagement verwendet.<\/p>\n nonRepudiation<\/em>: Key zur Pr\u00fcfung von „bewu\u00dften“ Signaturen (au\u00dfer CRLs und bei Zertifikaten).<\/p>\n digitalSignature<\/em>: Key zur Pr\u00fcfung von „automatischen“ Signaturen (au\u00dfer CRLs und bei Zertifikaten).<\/p>\n Extended Key Usage (Erweiterte Schl\u00fcsselverwendung)<\/strong> RFC2459-Extensions clientAuth<\/em>: Authentisierung von Web-Clients durch Web-Server<\/p>\n codeSigning<\/em>: Key zur Signierung von Programm-Code<\/p>\n emailProtection<\/em>: Key zur Verwendung mit S\/MIME-Software<\/p>\n timStamping<\/em>: Signierung von Objekt-Hashwerten und zugeh\u00f6rigen vertrauensw\u00fcrdigen Zeitstempeln<\/p>\n Microsoft-Extensions Netscape-Extensions Subject Key Identifier (Schl\u00fcsselkennung des Antragstellers)<\/strong> subjectKeyIdentifier<\/em> = hash<\/p>\n Authority Key Identifier<\/strong> keyIdentifier<\/em>: identifiziert einen Schl\u00fcssel \u00fcber das KeyIdentifier-Feld (Hash-Wert)<\/p>\n authorityCertIssuer<\/em>:<\/p>\n authorityCertSerialNumber<\/em>:<\/p>\n Subject Alternative Name (Alternativer Antragstellername)<\/strong> email<\/em>: E-Mail-Adresse als weiteren Bezeichner f\u00fcr ein Subjekt in das Zertifikat aufnehmen.<\/p>\n URL<\/em>: URL\/DNS-Namen als weiteren Bezeichner f\u00fcr ein Subjekt in das Zertifikat aufnehmen.<\/p>\n RID<\/em>: URIs und registrierte IDs (RIDs) als weiteren Bezeichner f\u00fcr ein Subjekt in das Zertifikat aufnehmen.<\/p>\n IP<\/em>: IP-Adresse als weiteren Bezeichner f\u00fcr ein Subjekt in das Zertifikat aufnehmen.<\/p>\n Issuer Alternative Name (Alternativer Ausstellername)<\/strong> issuer<\/em>: issuer:copy<\/p>\n URL<\/em>: URL\/DNS-Namen als weiteren Bezeichner f\u00fcr ein Subjekt in das Zertifikat aufnehmen.<\/p>\n RID<\/em>: URIs und registrierte IDs (RIDs) als weiteren Bezeichner f\u00fcr ein Subjekt in das Zertifikat aufnehmen.<\/p>\n IP<\/em>: IP-Adresse als weiteren Bezeichner f\u00fcr ein Subjekt in das Zertifikat aufnehmen.<\/p>\n Certificate Policies<\/strong><\/p>\n ia5org<\/em>: Option f\u00fcr die verwendung mit dem Internet Explorer [ notice ] CRL Distribution Point<\/strong> URI<\/em>: URL unter der die Widerrufsliste (CRL) abgerufen wird. openssl unterst\u00fctzt derzeit nur URIs. Grunds\u00e4tzlich sind alle unter subjectAltName verwendeten Methoden m\u00f6glich.<\/p>\n Netscape Certificate Extensions<\/strong> sslCA<\/em>: Ein CA-Zertifikat um Server oder Clients zu zertifizieren.<\/p>\n emailCA<\/em>: Ein CA-Zertifikat um E-Mail-Benutzer zu zertifizieren.<\/p>\n objCA<\/em>: Ein CA-Zertifikat um Zertifikate zum Signieren von Objekten (Java-Applits etc.) herauszugeben.<\/p>\n server<\/em>: Ein SSL-Server-zertifikat<\/p>\n client<\/em>: Ein SSL-Client-Zertifikat<\/p>\n reserved<\/em>: Reserviert f\u00fcr zuk\u00fcnftige Nutzung<\/p>\n objsign<\/em>: Zertifikat um Objekte (Java-Applets etc.) zu signieren<\/p>\n email<\/em>: Ein E-Mail Benutzer-Zertifikat<\/p>\n Zertifikatserweiterungen (Extensions) bestimmen den Verwendungszweck eines Zertifikats. Beim Signieren eines CSR werden die in einer openssl-Konfigurationsdatei unter dem Parameter x509_extensions hinterlegten Werte in das anschlie\u00dfend erstellte Zertifikat geschrieben.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9,13],"tags":[6,7],"class_list":["post-265","post","type-post","status-publish","format-standard","hentry","category-linux","category-openssl","tag-ca","tag-openssl"],"_links":{"self":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts\/265","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=265"}],"version-history":[{"count":11,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts\/265\/revisions"}],"predecessor-version":[{"id":277,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=\/wp\/v2\/posts\/265\/revisions\/277"}],"wp:attachment":[{"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=265"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=265"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.zerfallskonstante.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=265"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nBei CA-Zertifikaten muss CA:TRUE gesetzt sein bei nicht-CA-Zertifikaten ist laut RFC2459 der Parameter wegzulassen. Pathlen gibt an wieviel CA-Ebenen unterhalb der aktuellen CA maximal m\u00f6glich sind. Ist pathlen:0 gesetzt, kann die CA nur Anwendungs- bzw. Benutzerzertifikate signieren.<\/p>\nbasicConstraints = [critical,] CA:[, pathlen:N]<\/pre>\n
\nBeschriebt den Verwendungszweck der RSA-Schl\u00fcsseldatei und welche CSR signiert werden d\u00fcrfen.<\/p>\nkeyUsage = [critical,] [decipherOnly,] [encipherOnly,] [cRLSign,] [keysCertSign,] [keyAgreement,] [dataEncipherment,] [keyEncipherment,] [nonRepudiation,] [digitalSignature]<\/pre>\n
\nWird zus\u00e4tzlich oder anstelle von Key Usage verwendet.<\/p>\n
\nserverAuth<\/em>: Authentisierung von Web-Servern durch Web-Clients<\/p>\n
\nmsCodeInd<\/em>: Individual Code Signing
\nmsCodeCom<\/em>: Commercial Code Signing
\nmsCTLSign<\/em>: Trust List Sign
\nmsSGC<\/em>: Server-Zertifikat mit „Global Server ID“
\nmsEFS<\/em>: Verschl\u00fcsselung von symmetrischen Keys zur Dateisystem-Verschl\u00fcselung<\/p>\n
\nnsSGC<\/em>: Server-Zertifikat mit „Global Server ID“<\/p>\nkeyUsage = [critical,] [serverAuth,] [clientAuth,] [codeSigning,] [emailProtection,] [timeStamping,] [msCodeInd,] [msCodeCom,] [msCTLSign,] [msSGC,] [msEFS,] [nsSGC,] [OID]<\/pre>\n
\nDies ist der Hash-Wert des Public-Keys des Zertifikats.<\/p>\n
\nDer Schl\u00fcssel eines Zertifikats kann mit dieser Erweiterung auf zwei unterschiedliche Arten identifiziert werden. Entweder wird keyIdentifier oder es werden die anderen beiden Werte gesetzt.<\/p>\nauthorityKeyIdentifier =<\/pre>\n
\nKann verwendet werden alternative Bezeichner im Zertifikat zu hinterlegen.<\/p>\nsubjectAltName=][, URL:http:\/\/my.url.here\/][, RID:1.2.3.4][, IP:1.2.3.4]><\/pre>\n
\nHiermit werden die Angaben aus dem Subject Alternative Name kopiert.<\/p>\nissuerAltName=][, URL:http:\/\/my.url.here\/][, RID:1.2.3.4][, IP:1.2.3.4]><\/pre>\n
\nOID<\/em>: Liste von akzeprierten OID (Object Identifier)
\n@polsect<\/em>: verweist auf die Sektion polsect in der openssl.cnf
\n[ polsect ]
\npolicyIdentifier=OID
\nCPS=“http:\/\/www.ca.de\/policy.html“
\nuserNotice=@notice<\/p>\n
\nexplicitText=“Nur zur Verschluesselung von E-Mail (S\/MIME)“
\norganisation=“CA Org.“
\nnoticeNumbers=4, 2<\/p>\ncertificatePolicies=[ia5org,]OID[, OID, ...][,@polsect]<\/pre>\n
\nOrt an dem die Widerrufstliste (CRL) abgerufen werden kann.<\/p>\ncrlDistributionPoint=URI:http:\/\/www.ca.de\/ca1.crl[, URI:http:\/\/www.ca.de\/ca2.crl ... ]<\/pre>\n
\nDiese Extensions sollten nicht als Critical gesetzt werden. Microsoft-Browser lehnen in diesem Fall die Verbindung ab.<\/p>\nnsCertType=[sslCA,] [emailCA,] [objCA,] [server,] [client,] [reserved,] [objsign,] [email]<\/pre>\n","protected":false},"excerpt":{"rendered":"