我有以下与OpenSSL私有OID支持相关的问题:
- 通过浏览互联网上的openssl配置和其他工件,我发现OpenSSL支持配置私有OID,但我不清楚如何为与这些OID关联的属性指定值的语法?
- 我是否可以配置我配置的私有 OID 应仅用于证书的使用者名称或颁发者名称,而不应用于其他字段或任何其他对象?
您可以在
oid_section内的 OID 上定义短名称,如下所示myOid = 1.2.3.4
要定义您希望定义的 OID 采用哪种形式,您可以在 openssl.cnf 文件的顶层(而不是在任何块内)添加定义。这些定义使用OpenSSL 0.9.8中添加的mini-ASN.1编译器。
1.2.3.4=critical,ASN1:UTF8String:Some random data
您还可以查看mini-ASN.1编译器或OpenSSL文档生成任意扩展的语法。
我不熟悉防止 OpenSSL 允许在任何地方使用定义的 OID 的方法,但请记住,您在 openssl.cnf 中定义的 OID 对于任何在没有定义优势的情况下解析这些证书的信赖方来说,都将显示为原始 OID。
例如,如果将 1.3.6.1.4.1.808808080.1 定义为"myOid"。在您配置的系统上解析具有主题 DN 中的证书时,它将显示为/CN=something/O=something else/myOid=myValue,而在其他系统上,它将显示为/CN=something/O=something else/1.3.6.1.4.1.808808080.1=myValue 。
除了技术方面,我不确定您是否不会遇到法律问题,如果您的定义一旦向公众展示并与保留的 OID 发生冲突。似乎,公开分配 OID 空间没有障碍。
还有预定义的实验空间。
是否有为内部企业 CA 保留的 OID 空间?