[eside-ghost] Certificados X509

[Jon Urionaguena]

Aupi,

Si alguien lo considera OT me lo dice y lo mando pal café...

Tengo una duda en cuanto a los propositos de los certificados... Seguro que
alguien me la resuelve... O yo mismo en este mail...;-)

Un certificado emitido por una entidad internacional de certificacion
(Thawte, Verisign...), para mi empresa por ejemplo. La pregunta es a ver si
con uno de esos que te emiten algunas compañias por 80-100 euros, te puedes
crear por debajo tu propia PKI... Es decir, a ver si hay algún campo que
delimite si tu certificado recibido puede ser o no una CA intermedia (¿¿es
esto un "proposito"?? ¿O este concepto es un invento nuevo de Microsoft y no
tiene nada que ver con el estándar??). 

Por supuesto que entiendo que no, sino vaya negocio para esta gente...;-)

Se puede pensar que una opción es editar y cambiar los campos
correspondientes de tu certificado y hacer que sí sea CA... Pero con esto,
sin que la CA raíz (Thawte, Verisign...) lo vuelva a (re)firmar después, el
certificado pierde su validez ya que ha cambiado el hash (y por lo tanto la
firma) del documento.

Creo que me autorrespondo...;-)

http://www.ietf.org/rfc/rfc2459.txt 

"4.1.2.6. Subject
... If the subject is a CA (e.g., the basic constraints extension, as
discussed in 4.2.1.10, is present and the value of cA is TRUE,) then the
subject field MUST be populated with a non-empty distinguished name matching
the contents of the issuer field..."

"4.2.1.10. Basic Constraints
The basic constraints extension identifies whether the subject of the
certificate is a CA and how deep a certification path may exist through that
CA..."

Por lo tanto en el certificado queda marcado si es o no una CA, es decir,
que el árbol de certificación puede seguir hacia abajo o no.

Entendeis lo mismo que yo??

A ver que me comentais...

Saludos,

Jon