Skip to Content.
Sympa Menu

cacert-de - Re: Organisation client certs via csr

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Organisation client certs via csr


Chronological Thread 
  • From: Ian G <iang AT iang.org>
  • To: cacert-devel AT lists.cacert.org
  • Cc: cacert-de AT lists.cacert.org
  • Subject: Re: Organisation client certs via csr
  • Date: Thu, 12 Nov 2009 13:44:54 +0100

On 12/11/2009 03:38, Mario Lipinski wrote:
Hi,

would it be possible to enable to request organisation client certs via csr?


I'm confused by this. According to my reading of the CPS, the only way to get a certificate is through a CSR.

https://svn.cacert.org/CAcert/policy.htm#p4.1.3

What is the alternate?  How are organisation clients otherwise served?

(Curiously, there was another request recently for "special" handling of CSRs, this time to fiddle/change the request after signing.)

iang

PS: I google translated the below but didn't quite get it.

I guess this would be not a that large effort.

Am 10.11.2009 10:24, schrieb Bernhard Froehlich:
Das zweite Problem ist, dass die Prozedur zum Ausstellen von
Org-Client-Zertifikaten genauso läuft wie die von normalen
Client-Zertifikaten, d.h. der OrgAdmin generiert Private Key und
Zertifikat in seinem Browser, muss das als *.p12 exportieren und der
"Antragsteller" muss es dann importieren. Für höhere
Sicherheitsanforderungen ist das ein Problem da der OrgAdmin damit
Zugriff auf den Private Key hat. Die Vorgehensweise mit einem Signing
Request (CSR), wie bei den Server-Zertifiakten, wäre an dieser Stelle
zumindest als Alternative sinnvoll, muss aber erst implementiert werden.
Aber, laut CCA sollten CAcert-Zertifikate ja eh nicht für hohe
Sicherheitsanforderungen verwendet werden... :-\







Archive powered by MHonArc 2.6.16.

Top of Page