можно ли создать сертификат SSL под Root CA не использует расширенный ключ (проверка подлинности сервера)

Question

У меня есть один корневой сертификат, промежуточный CA и сертификат SSl с атрибутом ниже.

Корневой сертификат:

Расширенное использование ключа (Аутентификация клиента, TimeStamping)

Промежуточный CA

Расширенное использование ключа (проверка подлинности сервера, временная метка аутентификации клиента)

Сертификат SSL.

Расширенное использование ключа (аутентификация сервера, аутентификация клиента TimeStamping)

Я получаю ошибку ниже, чем в Chrome (Img Attached), но в Firefox то же самое работает нормально, хотя я добавил и Root, и Intermediate CA в хранилище доверенных сертификатов Microsoft..

Ошибка SSL

Я не включил проверку подлинности сервера в корневой сертификат в качестве расширенного ключа. Есть ли способ создания сертификата ssl под этим корнем.

Answer 1

Нет.Если сертификат CA (корневой или промежуточный) содержит расширение расширенного использования ключа, то выпущенные сертификаты могут иметь только подмножество этих EKU (если только EKU CA не имеет EKU «любое использование»).

Обычно корневой сертификатне будет иметь расширения EKU (подходит для всех целей), и если промежуточный продукт принадлежит одной и той же компании, у него также часто не будет расширения EKU.Если промежуточный ЦС является партнером по выдаче, то выдающий ЦС будет часто ограничивать подчиненный ЦС.

Например, сертификат TLS для www.microsoft.com (2018-06-05), где делегированный ЦС выдачииспользуется соглашение:

• www.microsoft.com
  • EKU: аутентификация сервера TLS, аутентификация клиента TLS
• TLS Microsoft IT 4 CA
  • EKU: аутентификация сервера TLS, аутентификация клиента TLS, подпись OCSP
• Балтиморский корень CyberTrust
  • (без расширения EKU)

Сравнить с www.wikipedia.org:

• *. Wikipedia.org
  • EKU: аутентификация сервера TLS, аутентификация клиента TLS
• Проверка организации GlobalSign CA - SHA256 - G2
  • (без расширения EKU)
• Корень GlobalSign CA
  • (нетРасширение EKU)