RFC 9310 und OpenSSL

vorhergehende Artikel in: PKI-X.509-CA Linux Security
13.01.2023

RFC 9310 X.509 Certificate Extension for 5G Network Function Types ist erschienen und ich habe mich natürlich sofort daran gemacht, die dort gegebenen Festlegungen und Empfehlungen in mein Projekt zur Verwaltung von PKIs einzuarbeiten.

Ich habe zunächst eine OpenSSL-Konfiguration aus den bereits im Projekt verfügbaren für diesen Anwendungsfall abgeleitet - sie ermöglicht es, die in der RFC 9310 vorgestellte Extension hinzuzufügen - ein Beispiel eines solchen Konfiguration ist hier zu sehen:

# RFC9310 certificate request

[ default ] oid_section = additional_oids

[ additional_oids ] nfTypes = 1.3.6.1.5.5.7.1.34 test157 = 2.16.840.1.101.3.2.1.48.157

[ req ] default_bits = 4096 # RSA key size encrypt_key = yes # Protect private key default_md = sha512 # MD to use utf8 = yes # Input is UTF-8 string_mask = utf8only # Emit UTF-8 strings prompt = yes # Prompt for DN distinguished_name = rfc9310_dn # DN template req_extensions = rfc9310_reqext # Desired extensions

[ rfc9310_dn ] countryName = "1. Country Name (2 letters) (eg, US) " #countryName_default = "default countryName" #countryName_min = 1 countryName_max = 2 #stateOrProvinceName = "2. State or Province Name (eg, region) " #stateOrProvinceName_min = 1 #stateOrProvinceName_max = 255 #stateOrProvinceName_default = "default stateOrProvinceName" #localityName = "3. Locality Name (eg, city) " #localityName_min = 1 #localityName_max = 255 #localityName_default = "default localityName" organizationName = "4. Organization Name (eg, company) " #organizationName_min = 1 #organizationName_max = 255 #organizationName_default = "default organizationName" #organizationalUnitName = "5. Organizational Unit Name (eg, section) " #organizationalUnitName_min = 1 #organizationalUnitName_max = 255 #organizationalUnitName_default = "default organizationalUnitName" #commonName = "6. Common Name (eg, full name)" #commonName_default = "default commonName" #commonName_min = 1 #commonName_max = 64 #emailAddress = "7. Email Address (eg, name@fqdn)" #emailAddress_default = "default emailAddress" #emailAddress_min = 1 #emailAddress_max = 40

[ rfc9310_reqext ] nfTypes = ASN1:SEQUENCE:nftypes_seq certificatePolicies = test157 keyUsage = critical,digitalSignature extendedKeyUsage = clientAuth subjectKeyIdentifier = hash subjectAltName = $ENV::SAN

[ nftypes_seq ] nfTypes.0 = IA5STRING:"AMF"

Damit ist es möglich, mittels OpenSSL entsprechende Certificate Signing Requests (CSRs) zu erstellen - Beispiel gefällig?

Certificate Request:
    Data:
        Version: 1 (0x0)
        Subject: C = DE, O = "ACME, Inc."
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    00:a0:f4:d0:f0:d1:94:0a:2f:51:f2:be:a1:25:4d:
// ... snip ...
                    d2:91:73:2f:d3:dc:7a:b5:75:ca:77:15:83:4e:26:
                    5e:00:5f
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            1.3.6.1.5.5.7.1.34:
                0...AMF
            X509v3 Certificate Policies:
                Policy: 2.16.840.1.101.3.2.1.48.157

X509v3 Key Usage: critical Digital Signature X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Subject Key Identifier: 4E:B4:E0:91:1C:E7:4B:BB:5B:46:47:8A:B3:28:FD:EE:96:E1:B1:9C X509v3 Subject Alternative Name: DNS:amf1.cluster1.net2.amf.5gc.mnc400.mcc311.3gppnetwork.org, URI:urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6 Signature Algorithm: sha512WithRSAEncryption 1b:6a:aa:75:be:17:65:1c:3b:f6:ce:72:f5:3e:36:2e:b1:b6: // ... snip ... 72:1b:07:31:e2:30:cf:24:57:70:d2:1b:4e:26:04:39:bc:81: 7a:db:6b:2a:39:09:1c:38

Legt man einen entsprechenden Konfigurationsabschnitt in der CA-Konfiguration an, kann man damit zu RFC 9310 konforme Zertifikate erstellen:

[ rfc9310_ext ]

keyUsage = critical,digitalSignature basicConstraints = CA:false extendedKeyUsage = clientAuth subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always authorityInfoAccess = @issuer_info crlDistributionPoints = @crl_info

Nutzt man die oben angegebene Konfiguration für die Erzeugung des Requests, muss noch eine entsprechende Policy-Section zur Validierung des Distinguished Name (DN) eingebaut werden, die beispielhaft wie folgt aussehen könnte:

[ rfc9310_pol ]
countryName             = supplied
organizationName        = supplied

Signiert man einen CSR unter Benutzung dieser beiden Optionen, erhält man ein Zertifiktat eintsprechend RFC 9310:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha512WithRSAEncryption
        Issuer: C = DE, O = Damaschkestr. 11, OU = Arbeitszimmer, CN = Dama11 Lab Component Test CA
        Validity
            Not Before: Jan 13 07:27:14 2023 GMT
            Not After : Jan 13 23:59:59 2026 GMT
        Subject: C = DE, O = "ACME, Inc."
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    00:a0:f4:d0:f0:d1:94:0a:2f:51:f2:be:a1:25:4d:
// ... snip ...
                    d2:91:73:2f:d3:dc:7a:b5:75:ca:77:15:83:4e:26:
                    5e:00:5f
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Subject Key Identifier:
                4E:B4:E0:91:1C:E7:4B:BB:5B:46:47:8A:B3:28:FD:EE:96:E1:B1:9C
            X509v3 Authority Key Identifier:
                keyid:8E:E3:1C:A5:A3:ED:35:B8:9E:61:08:03:F1:CF:54:9C:07:A4:22:1C

Authority Information Access: CA Issuers - URI:https://elbosso.github.io/x509//Dama11_Component_Test_CA-ca.crt

X509v3 CRL Distribution Points:

Full Name: URI:https://elbosso.github.io/x509//Dama11_Component_Test_CA-ca.crl

1.3.6.1.5.5.7.1.34: 0...AMF X509v3 Certificate Policies: Policy: 2.16.840.1.101.3.2.1.48.157

X509v3 Subject Alternative Name: DNS:amf1.cluster1.net2.amf.5gc.mnc400.mcc311.3gppnetwork.org, URI:urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6 Signature Algorithm: sha512WithRSAEncryption 41:23:6f:a7:c7:2f:c9:ef:23:45:5a:4f:bf:86:90:38:e5:04: // ... snip ... 85:01:30:f9:a7:61:c9:56:7c:08:a2:9d:80:00:42:ba:98:c8: 12:ee:1a:01:0f:37:c4:65

Die hier eingesetzte Zertifikatspolicy it übrigens 2.16.840.1.101.3.2.1.48.157 bzw. Test Certificate Policy to Support PKI Pilots and Testing.

In CSR und Zertifikat wurden einige der Blöcke abgekürzt. Wer sich selbst ein Bild machen möchte, kann das mit dem hier im PEM-Format abgelegten Zertifikat tun:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Aviator + Websockets

    15.06.2019

    Nachdem ich in den letzten Wochen und Monaten meine Zeit und Energie in die sQLshell gesteckt habe - was sowohl Bugfixing als auch neue Features betraf - habe ich nun endlich die Zeit gefunden, ein bereits lange überfälliges Feature an dWb+ und speziell am aviator zu implementieren.

    Weiterlesen...

Neueste Artikel

  • Neue Version plantumlinterfaceproxy napkin look

    Es gibt eine neue Version des Projektes plantumlinterfaceproxy - Codename napkin look.

    Weiterlesen...
  • Apache HTTPCore5 funktioniert nicht mit Docker

    Ich habe neulich drei Stunden meines Lebens verschwendet weil ich unbedingt die neueste Version der HTTPCore5 Library von Apache einsetzen wollte.

    Weiterlesen...
  • Entwurfsmodus für beliebige SVG Graphiken

    Nachdem ich in der Vergangenheit immer wieder Weiterentwicklungen der Idee vorgestellt habe, Graphiken mit dem Computer so zu ezeugen dass sie eine gewisse "handgemachte" Anmutung haben, habe ich nunmehr die durchschlagende Idee gehabt:

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.