Re: richiesta info su openssl.cnf

On Thu, Apr 10, 2003 at 12:18:55PM +0200, andreajokes@tiscali.it wrote:
> In particolare che tipo di variabile è "name_opt"  e "cert_opt" ?...come
> mai sono valorizzate a "ca_default"? 
> 
> # Comment out the following two lines for the "traditional"
> # (and highly broken) format.
> name_opt 	= ca_default		# Subject Name options
> cert_opt 	= ca_default		# Certificate field options

cert_opt (certificate body options)
parametri per selezionare le porzioni di un certificato che non vuoi vedere: 
ad es. 'no_validity' -> non mostrarmi la validita', 'no_subject' -> non 
mostrarmi il subject, etc.  

ca_default in questo caso vuol dire (no_issuer|no_pubkey|no_header|no_version).


name_opt (certificate name options) 
per il controllo della print_name() i.e. escape di certi caratteri, quoting, 
reversed DN...

ca_default sta per multiline (vedi x509.h::#define XN_FLAG_MULTILINE) 


> --------------------------------------------------------------
> 2. cosa sono le "copy_extensions"?, cos'è il valore "copy" ?
> 
> # Extension copying option: use with caution.
> # copy_extensions = copy
> ---------------------------------------------------------------

i valori ammissibili sono 'none', 'copy' e 'copyall' e servono 
a pilotare la copia delle estensioni dalla request al certificato
corrispondente.  'none' si spiega da solo.  'copy' va in append (cioe' 
preserva tutte le estensioni che pre-esistono), mentre 'copyall' 
sovrascrive le estensioni dello stesso tipo.


> --------------------------------------------------------------
> 3. nelle estenzioni da aggiungere alla crl, cos'è la variabile 
> "preserve"?...come si utilizza?
> 
> preserve	= no			# keep passed DN ordering

boh.  secondo me sta roba non c'entra niente con le CRL, quanto piuttosto
con la catena richiesta -> certificato: se 'preserve' = yes il subject DN 
della request viene copiato cosi' com'e' nel certificato, altrimenti viene
creato (quindi sono possibili riordinamenti, aggiunte, etc.)

prendi con le pinze.


> ----------------------------------------------------------------------
> 4. nella definizione dell' issuerAltName, cos'è e/o a cosa fa riferimento
> "copy"?
> 
> # issuerAltName=issuer:copy

vuol dire: aggiungi al certificato l'estensione 'issuerAltName' facendo 
blind-copy dal campo issuer.  PKIX raccomanda l'uso di issuerAltName e
subjectAltName in *alternativa* a subject e issuer DN nel caso in cui i 
"nomi" siano indirizzi IPv[46], nomi DNS, indirizzi e-mail, URI - ovvero
per certificati di solito usati per IPSec, TLS, e in generale dove l'entita'
associata al certificato e' una macchina/applicazione invece che una persona
fisica.


> ----------------------------------------------------------------------
> 
> 5.  ...non ho idea di cosa si stia definendo nella sezione che riporto :-(
> 
> # DER hex encoding of an extension: beware experts only!
> # obj=DER:02:03
> # Where 'obj' is a standard or added object
> # You can even override a supported extension:
> # basicConstraints= critical, DER:30:03:01:01:FF

quando hai bisogno di schiacciare un certo valore dentro un oggetto qualsiasi
puoi dare direttamente l'encoding DER del tipo/valore.  i due esempi sopra 
sono un intero (02 03) abbastanza inutile, e una SEQUENCE { BOOLEAN true } 
per l'estensione basicConstraints, che vuol dire: il subject del certificato 
e' una CA e, implicitamente visto che pathLenConstraint non c'e', non ci sono 
limiti sulla profondita' dell'albero di certificati che gli sta sotto.

btw per iniziare a capire cos'e' ASN.1:
ftp://ftp.rsa.com/pub/pkcs/ascii/layman.asc

per finirla (probabilmente) per sempre:
http://asn1:notation1@ties.itu.int/ftp/asn1/asn.1-2002-july-16-2002.pdf

tho

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List