Certificate Assistant intercambia configuraciones de extensión para CA / Usuarios

Intento establecer una Autoridad de certificación raíz usando Keychain Access / Certificate Assistant, pero me estoy metiendo en problemas.

Al crear la autoridad, el asistente le pide que ingrese las configuraciones de Uso de key y Extensión de uso de key extendida tanto para la propia CA como para los usuarios de la misma. Sin embargo, después de la finalización del certificate, parece haber sido cambiado. Entonces, la CA parece tener la configuration que se ingresó para los usuarios de la CA.

  • Descifrar llavero con contraseña fuera de Keychain-App
  • ¿Cómo saber por qué macOS cree que un certificate está revocado?
  • Unidad externa cifrada normalmente solicita contraseña, a pesar de estar en llavero
  • ¿Es importante hacer una copy de security de las keys públicas para los certificates de desarrollador de iOS?
  • Cloudd quiere usar el llavero "Elementos locales"
  • Certificado raíz del process de ubicuidad no válido
  • Para fines de demostración, realicé algunas capturas de pantalla para configurar una CA de testing:

    enter image description here

    Esta configuration arrojará el certificate que se ve a continuación:

    Como puede ver, los valores para el uso de la key y las extensiones de uso de la key extendida provienen de los valores ingresados ​​para los usuarios de esta CA. Mientras que los valores para las restricciones básicas y el nombre alternativo del sujeto parecen tomarse correctamente de los valores ingresados ​​para la CA misma.

    Ahora tengo algunas preguntas sobre esto:

    • ¿Es esto un error en el asistente de certificate y las extensiones 2 y 3 a continuación están incorrectamente tomadas del asistente? (Si es así, tendré que usar OpenSSL)
    • De lo contrario, ¿cuál es la razón por la que el certificate mostraría los valores pnetworkingeterminados que usa para los certificates que emitirá? Y en ese caso, ¿el campo Uso de key en el n. ° 1 a continuación representa los valores correctos ingresados ​​para la CA?
    • ¿Los valores de usuario ingresados ​​para esas 2 extensiones afectan los certificates emitidos de alguna manera? (Si se modifican los valores pnetworkingeterminados para el certificate emitido). La razón por la que pregunto esto es porque he leído en alguna parte que la extensión de uso de la key establece valores pnetworkingeterminados para los certificates emitidos, mientras que la extensión de uso de la key extendida establece restricciones para los certificates emitidos.

    enter image description here

  • Carpeta de installation pnetworkingeterminada
  • ¿Cómo puedo usar el encryption de FileVault y seguir rastreando mi computadora portátil si me lo roban?
  • ¿Cómo obligo a iOS a search actualizaciones?
  • ¿Cómo me aseguro de que el error de la count de raíz de macOS esté completamente solucionado en mi máquina?
  • ¿Hay un package de herramientas de security para Mac OS X?
  • ¿Quién puede acceder a iMessage en los serveres de Apple?
  • One Solution collect form web for “Certificate Assistant intercambia configuraciones de extensión para CA / Usuarios”

    Así que he estado investigando más a background y, por lo que he leído aquí y allá, estoy bastante seguro de que no debería estar haciendo esto. He informado este error a Apple y si alguna vez recibo una respuesta de ellos, actualizaré esta publicación.

    Si alguien con el mismo problema encuentra esta publicación, esta es la solución temporal que utilicé:

    1. Cree la autoridad de certificación y para cualquier extensión que le proporcione dos pantallas, ingrese los mismos valores en ambos. Esos deberían ser los valores que desea en el certificate en sí.
    2. Cuando termine, vaya a ~/Library/Application Support/Certificate Authority/[ca name] y edite allí el file de plantilla para los valores que desea ingresar en la segunda pantalla de cada extensión.
    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).