RFC 9310 und OpenSSL

vorhergehende Artikel in: PKI-X.509-CA Linux Security

13.01.2023

RFC 9310 X.509 Certificate Extension for 5G Network Function Types ist erschienen und ich habe mich natürlich sofort daran gemacht, die dort gegebenen Festlegungen und Empfehlungen in mein Projekt zur Verwaltung von PKIs einzuarbeiten.

Ich habe zunächst eine OpenSSL-Konfiguration aus den bereits im Projekt verfügbaren für diesen Anwendungsfall abgeleitet - sie ermöglicht es, die in der RFC 9310 vorgestellte Extension hinzuzufügen - ein Beispiel eines solchen Konfiguration ist hier zu sehen:

# RFC9310 certificate request

[ default ]
oid_section = additional_oids

[ additional_oids ]
nfTypes = 1.3.6.1.5.5.7.1.34
test157 = 2.16.840.1.101.3.2.1.48.157

[ req ]
default_bits            = 4096                  # RSA key size
encrypt_key             = yes                   # Protect private key
default_md              = sha512                  # MD to use
utf8                    = yes                   # Input is UTF-8
string_mask             = utf8only              # Emit UTF-8 strings
prompt                  = yes                   # Prompt for DN
distinguished_name      = rfc9310_dn           # DN template
req_extensions          = rfc9310_reqext       # Desired extensions

[ rfc9310_dn ]
countryName             = "1. Country Name (2 letters) (eg, US)       "
#countryName_default = "default countryName"
#countryName_min = 1
countryName_max         = 2
#stateOrProvinceName     = "2. State or Province Name   (eg, region)   "
#stateOrProvinceName_min = 1
#stateOrProvinceName_max = 255
#stateOrProvinceName_default = "default stateOrProvinceName"
#localityName            = "3. Locality Name            (eg, city)     "
#localityName_min = 1
#localityName_max = 255
#localityName_default = "default localityName"
organizationName        = "4. Organization Name        (eg, company)  "
#organizationName_min = 1
#organizationName_max = 255
#organizationName_default = "default organizationName"
#organizationalUnitName  = "5. Organizational Unit Name (eg, section)  "
#organizationalUnitName_min = 1
#organizationalUnitName_max = 255
#organizationalUnitName_default = "default organizationalUnitName"
#commonName              = "6. Common Name              (eg, full name)"
#commonName_default = "default commonName"
#commonName_min = 1
#commonName_max          = 64
#emailAddress            = "7. Email Address            (eg, name@fqdn)"
#emailAddress_default = "default emailAddress"
#emailAddress_min	= 1
#emailAddress_max        = 40

[ rfc9310_reqext ]
nfTypes                 = ASN1:SEQUENCE:nftypes_seq
certificatePolicies     = test157
keyUsage                = critical,digitalSignature
extendedKeyUsage        = clientAuth
subjectKeyIdentifier    = hash
subjectAltName          = $ENV::SAN

[ nftypes_seq ]
nfTypes.0 = IA5STRING:"AMF"

Damit ist es möglich, mittels OpenSSL entsprechende Certificate Signing Requests (CSRs) zu erstellen - Beispiel gefällig?

Certificate Request: Data: Version: 1 (0x0) Subject: C = DE, O = "ACME, Inc." Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (4096 bit) Modulus: 00:a0:f4:d0:f0:d1:94:0a:2f:51:f2:be:a1:25:4d: // ... snip ... d2:91:73:2f:d3:dc:7a:b5:75:ca:77:15:83:4e:26: 5e:00:5f Exponent: 65537 (0x10001) Attributes: Requested Extensions: 1.3.6.1.5.5.7.1.34: 0...AMF X509v3 Certificate Policies: Policy: 2.16.840.1.101.3.2.1.48.157

X509v3 Key Usage: critical Digital Signature X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Subject Key Identifier: 4E:B4:E0:91:1C:E7:4B:BB:5B:46:47:8A:B3:28:FD:EE:96:E1:B1:9C X509v3 Subject Alternative Name: DNS:amf1.cluster1.net2.amf.5gc.mnc400.mcc311.3gppnetwork.org, URI:urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6 Signature Algorithm: sha512WithRSAEncryption 1b:6a:aa:75:be:17:65:1c:3b:f6:ce:72:f5:3e:36:2e:b1:b6: // ... snip ... 72:1b:07:31:e2:30:cf:24:57:70:d2:1b:4e:26:04:39:bc:81: 7a:db:6b:2a:39:09:1c:38

Legt man einen entsprechenden Konfigurationsabschnitt in der CA-Konfiguration an, kann man damit zu RFC 9310 konforme Zertifikate erstellen:

[ rfc9310_ext ]

keyUsage                = critical,digitalSignature
basicConstraints        = CA:false
extendedKeyUsage        = clientAuth
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always
authorityInfoAccess     = @issuer_info
crlDistributionPoints   = @crl_info

Nutzt man die oben angegebene Konfiguration für die Erzeugung des Requests, muss noch eine entsprechende Policy-Section zur Validierung des Distinguished Name (DN) eingebaut werden, die beispielhaft wie folgt aussehen könnte:

[ rfc9310_pol ]
countryName             = supplied
organizationName        = supplied

Signiert man einen CSR unter Benutzung dieser beiden Optionen, erhält man ein Zertifiktat eintsprechend RFC 9310:

Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha512WithRSAEncryption Issuer: C = DE, O = Damaschkestr. 11, OU = Arbeitszimmer, CN = Dama11 Lab Component Test CA Validity Not Before: Jan 13 07:27:14 2023 GMT Not After : Jan 13 23:59:59 2026 GMT Subject: C = DE, O = "ACME, Inc." Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (4096 bit) Modulus: 00:a0:f4:d0:f0:d1:94:0a:2f:51:f2:be:a1:25:4d: // ... snip ... d2:91:73:2f:d3:dc:7a:b5:75:ca:77:15:83:4e:26: 5e:00:5f Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Key Usage: critical Digital Signature X509v3 Basic Constraints: CA:FALSE X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Subject Key Identifier: 4E:B4:E0:91:1C:E7:4B:BB:5B:46:47:8A:B3:28:FD:EE:96:E1:B1:9C X509v3 Authority Key Identifier: keyid:8E:E3:1C:A5:A3:ED:35:B8:9E:61:08:03:F1:CF:54:9C:07:A4:22:1C

Authority Information Access: CA Issuers - URI:https://elbosso.github.io/x509//Dama11_Component_Test_CA-ca.crt

X509v3 CRL Distribution Points:

Full Name: URI:https://elbosso.github.io/x509//Dama11_Component_Test_CA-ca.crl

1.3.6.1.5.5.7.1.34: 0...AMF X509v3 Certificate Policies: Policy: 2.16.840.1.101.3.2.1.48.157

X509v3 Subject Alternative Name: DNS:amf1.cluster1.net2.amf.5gc.mnc400.mcc311.3gppnetwork.org, URI:urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6 Signature Algorithm: sha512WithRSAEncryption 41:23:6f:a7:c7:2f:c9:ef:23:45:5a:4f:bf:86:90:38:e5:04: // ... snip ... 85:01:30:f9:a7:61:c9:56:7c:08:a2:9d:80:00:42:ba:98:c8: 12:ee:1a:01:0f:37:c4:65

Die hier eingesetzte Zertifikatspolicy it übrigens 2.16.840.1.101.3.2.1.48.157 bzw. Test Certificate Policy to Support PKI Pilots and Testing.

In CSR und Zertifikat wurden einige der Blöcke abgekürzt. Wer sich selbst ein Bild machen möchte, kann das mit dem hier im PEM-Format abgelegten Zertifikat tun:

Kommentar hinzufügen (via Github ) Kommentare ansehen (via Github )

Kommentar hinzufügen (via ) Kommentare ansehen (via )

Vor 5 Jahren hier im Blog

Certstream, InfluxDB, Grafana und Netflix

16.04.2019

Nachdem ich vor kurzem über mein erstes Spielen mit dem certstream berichtete, habe ich weitere Experimente gemacht und die Daten zur besseren Auswertung in eine InfluxDB gepackt, um sie mit Grafana untersuchen zu können.
Weiterlesen...

Neueste Artikel

Die sQLshell ist nun cloudnative!

Die sQLshell hat eine weitere Integration erfahren - obwohl ich eigentlich selber nicht viel dazu tun musste: Es existiert ein Projekt/Produkt namens steampipe, dessen Slogan ist select * from cloud; - Im Prinzip eine Wrapperschicht um diverse (laut Eigenwerbung mehr als 140) (cloud) data sources.
Weiterlesen...
LinkCollections 2024 III

Nach der letzten losen Zusammenstellung (für mich) interessanter Links aus den Tiefen des Internet von 2024 folgt hier gleich die nächste:
Weiterlesen...
Funktionen mit mehreren Rückgabewerten in Java

Da ich seit nunmehr einem Jahr bei meinem neeun Arbeitgeber beschäftigt und damit seit ungefähr derselben Zeit für Geld mit Python arbeite, haben sich gewisse Antipathien gegenüber Python vertieft (ich kann mit typlosen Sprachen einfach nicht umgehen) - aber auch einige meiner Gründe, Python zu lieben sind ebenso stärker geworden. Einer davon ist der Fakt, dass eine Methode in Python mehr als einen Wert zurückgeben kann.
Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.

RFC 9310 und OpenSSL

Vor 5 Jahren hier im Blog

Tags

Neueste Artikel

Der Verfasser