Использование ключа для ЦС / Подчиненного ЦС

Question

За последние 10 лет у меня был личный ключ / сертификат. Однако теперь Apache отказывается запускаться с этим закрытым ключом (длина его всего 1024 бита), и я хочу создать новый CA для своей лаборатории и исследовать также подчиненный CA.

Теперь я хочу создать новый CSR и для CA и для подчиненного CA. Кстати, я использую Ansible для создания ключей / csr / certs.

Теперь мои вопросы: я понимаю, что вы можете ограничить использование ключа Certificate / publi c с помощью соответствующая опция (использование ключа и extended_key_usage).

Мой вопрос:

1. Нужно ли указывать какие-либо ограничения для CA / subCA?
2. Если так Какие ограничения я должен применить?

Спасибо

Answer 1

Нужно ли указывать какие-либо ограничения для CA / subCA? Если да, то какие ограничения я должен применить?

Если это ваша лаборатория, вам на самом деле не нужно / не нужно указывать KU или EKU (использование ключа или использование расширенного ключа). Однако - на мой взгляд, лучше, если вы сделаете это (чтобы быть как можно ближе к реальному окружению, и некоторые структуры могут на него жаловаться)

Вы можете на самом деле проверить, как обычные ЦС строят свою цепочку сертификатов. Что я использую:

Сертификат CA:

KU: Digital Signature, Certificate Signing, Off-line CRL Signing, CRL Signing
Basic constraint: Subject Type=CA, Path Length Constraint=0

Сертификат сервера / клиента:

KU :  Digital Signature, Key Encipherment
EKU:  Server Authentication, Client Authentication
Basic constraint: Subject Type=End Entity

Хотя это зависит от того, что вы хотите сделать с сертификатами. Есть несколько хороших документов, таких как этот