没有签名功能的 x509 客户端证书
[英]x509 Client Certificate without signing capability
问题描述
我目前正在试验 X509 证书。
正如我测试的那样,我刚刚使用相同的证书签署了 Apple 配置 (.mobileconfig)。 这显示为完全有效(当然,当安装了 Root CA 时)
我签署了.mobileconfig
openssl smime -sign
现在是我的问题,是否有可能从客户端证书中删除这些签名功能。 还是默认存在?
我也尝试摆弄 KeyUsage 和 ExtendedKeyUsage 但似乎没有任何效果。
我的目标是让用户使用 EAP-TLS 进行 radius 身份验证的客户端证书。 用户无法签署文件。
1 个解决方案
解决方案1
0 2023-01-15 13:34:47
我的目标是让用户使用 EAP-TLS 进行 radius 身份验证的客户端证书。 用户无法签署文件。
您无法真正阻止任何人使用与其 X509 证书关联的私钥来签署内容。 除非您控制他们可以使用该私钥使用的所有软件,否则他们可以只使用忽略 X509 证书上列出的密钥使用扩展的东西。
您可以做的就是不尊重任何无法由具有digitalSignature扩展名的 X509 证书验证的签名。
“我应该用来验证你的签名的你的 X509 证书没有设置digitalSignature位。这个签名无效。”
希望您使用的任何软件产品都需要正确的证书属性存在于用于验证签名的 X509 证书上。
查看 X509 证书属性的多种方法之一:
openssl x509 -in /path/to/cert.pem -noout -text
对于 PKCS#12 格式的组合证书/私钥:
openssl pcks12 -in /path/to/key.p12 -nokeys | openssl x509 -noout -text
(请注意,我还没有测试这些openssl...示例 - 它们可能不完全正确...)
通过签署 CSR 创建 x509 v3 用户证书
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.