Skip to Content.
Sympa Menu

cacert-de - keyUsage und extendedKeyUsage in CAcert.org Zertifikaten

Subject: Deutschsprachige CAcert Support Liste

List archive

keyUsage und extendedKeyUsage in CAcert.org Zertifikaten


Chronological Thread 
  • From: Sören Kornetzki <skao4111 AT googlemail.com>
  • To: cacert-de AT lists.cacert.org
  • Subject: keyUsage und extendedKeyUsage in CAcert.org Zertifikaten
  • Date: Sun, 24 Oct 2010 17:29:10 +0200
  • Authentication-results: lists.cacert.org; dkim=pass (1024-bit key) header.i= AT googlemail.com; dkim-asp=none
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=googlemail.com; s=gamma; h=date:from:x-mailer:reply-to:x-priority:message-id:to:subject :mime-version:content-type; b=Rh16kC/Cv/DxmXUy3lvpyxA9KOA+ZShc0JXCkIeU/wkcqCThuD7BbVFBaXYgDo8k9r ZPg72orABlLRUHQJp8z4x+2z25tqNsx3/jJBPYAaxte8fPO5Yv45hpsCJMfsZvDLvmGo kDgKjSSv/cpCLlEiqmCPaXbE8Hi7mOmHdG2EE=

Hallo zusammen,

ich  habe  da  mal  eine  Frage  zu  keyUsage  und extendedKeyUsage in
CAcert.org Zertifikaten. Am Beispiel von drei Einsatzfällen.

Als Web-/Mailserver bräuchte das Zertifikat doch die folgenden Attribute:
> keyUsage = nonRepudiation, digitalSignature, keyEncipherment, 
> dataEncipherment
> extendedKeyUsage = clientAuth, serverAuth, msSGC, nsSGC


Als 802.1X User bräuchte das Zertifikat doch die folgenden Attribute:
> keyUsage = nonRepudiation, digitalSignature, keyEncipherment, 
> dataEncipherment
> extendedKeyUsage = clientAuth, emailProtection, szOID_KP_SMARTCARD_LOGON, 
> szOID_EFS_CRYPTO


Als Code-Signing bräuchte das Zertifikat doch die folgenden Attribute:
> keyUsage = nonRepudiation, digitalSignature, keyEncipherment, 
> dataEncipherment
> extendedKeyUsage = codeSigning, clientAuth, emailProtection, 
> msCodeCom/msCodeInd, szOID_KP_SMARTCARD_LOGON, szOID_EFS_CRYPTO


Nun meine Frage: warum wird es nicht so gemacht?
"dataEncipherment"  ist meistens/immer nie gesetzt. Was spricht gegen den
Parameter und In-Software Signierung/Verschlüsselung (vgl. PDF)?
Was spricht gegen die anderen Parameter? Über den speziellen Parameter
gibt   es   seit  über  zwei  Jahren  einen  offenen  Bug  mit  vielen
Rückmeldungen (vgl.: http://bugs.cacert.org/view.php?id=540).


-- 
Mit freundlichen Grüßen
Sören Kornetzki
mailto:skao4111 AT googlemail.com

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page