vorhergehender Artikel
nächster Artikel

RFC 9310 und OpenSSL

vorhergehende Artikel in: PKI-X.509-CA Linux Security
13.01.2023

RFC 9310 X.509 Certificate Extension for 5G Network Function Types ist erschienen und ich habe mich natürlich sofort daran gemacht, die dort gegebenen Festlegungen und Empfehlungen in mein Projekt zur Verwaltung von PKIs einzuarbeiten.

Ich habe zunächst eine OpenSSL-Konfiguration aus den bereits im Projekt verfügbaren für diesen Anwendungsfall abgeleitet - sie ermöglicht es, die in der RFC 9310 vorgestellte Extension hinzuzufügen - ein Beispiel eines solchen Konfiguration ist hier zu sehen: 

# RFC9310 certificate request


[ default ]
oid_section = additional_oids


[ additional_oids ]
nfTypes = 1.3.6.1.5.5.7.1.34
test157 = 2.16.840.1.101.3.2.1.48.157


[ req ]
default_bits            = 4096                  # RSA key size
encrypt_key             = yes                   # Protect private key
default_md              = sha512                  # MD to use
utf8                    = yes                   # Input is UTF-8
string_mask             = utf8only              # Emit UTF-8 strings
prompt                  = yes                   # Prompt for DN
distinguished_name      = rfc9310_dn           # DN template
req_extensions          = rfc9310_reqext       # Desired extensions


[ rfc9310_dn ]
countryName             = "1. Country Name (2 letters) (eg, US)       "
#countryName_default = "default countryName"
#countryName_min = 1
countryName_max         = 2
#stateOrProvinceName     = "2. State or Province Name   (eg, region)   "
#stateOrProvinceName_min = 1
#stateOrProvinceName_max = 255
#stateOrProvinceName_default = "default stateOrProvinceName"
#localityName            = "3. Locality Name            (eg, city)     "
#localityName_min = 1
#localityName_max = 255
#localityName_default = "default localityName"
organizationName        = "4. Organization Name        (eg, company)  "
#organizationName_min = 1
#organizationName_max = 255
#organizationName_default = "default organizationName"
#organizationalUnitName  = "5. Organizational Unit Name (eg, section)  "
#organizationalUnitName_min = 1
#organizationalUnitName_max = 255
#organizationalUnitName_default = "default organizationalUnitName"
#commonName              = "6. Common Name              (eg, full name)"
#commonName_default = "default commonName"
#commonName_min = 1
#commonName_max          = 64
#emailAddress            = "7. Email Address            (eg, name@fqdn)"
#emailAddress_default = "default emailAddress"
#emailAddress_min	= 1
#emailAddress_max        = 40


[ rfc9310_reqext ]
nfTypes                 = ASN1:SEQUENCE:nftypes_seq
certificatePolicies     = test157
keyUsage                = critical,digitalSignature
extendedKeyUsage        = clientAuth
subjectKeyIdentifier    = hash
subjectAltName          = $ENV::SAN


[ nftypes_seq ]
nfTypes.0 = IA5STRING:"AMF"

Damit ist es möglich, mittels OpenSSL entsprechende Certificate Signing Requests (CSRs) zu erstellen - Beispiel gefällig? 

Certificate Request:
    Data:
        Version: 1 (0x0)
        Subject: C = DE, O = "ACME, Inc."
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    00:a0:f4:d0:f0:d1:94:0a:2f:51:f2:be:a1:25:4d:
// ... snip ...
                    d2:91:73:2f:d3:dc:7a:b5:75:ca:77:15:83:4e:26:
                    5e:00:5f
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            1.3.6.1.5.5.7.1.34:
                0...AMF
            X509v3 Certificate Policies:
                Policy: 2.16.840.1.101.3.2.1.48.157


            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Subject Key Identifier:
                4E:B4:E0:91:1C:E7:4B:BB:5B:46:47:8A:B3:28:FD:EE:96:E1:B1:9C
            X509v3 Subject Alternative Name:
                DNS:amf1.cluster1.net2.amf.5gc.mnc400.mcc311.3gppnetwork.org, URI:urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6
    Signature Algorithm: sha512WithRSAEncryption
         1b:6a:aa:75:be:17:65:1c:3b:f6:ce:72:f5:3e:36:2e:b1:b6:
// ... snip ...
         72:1b:07:31:e2:30:cf:24:57:70:d2:1b:4e:26:04:39:bc:81:
         7a:db:6b:2a:39:09:1c:38

Legt man einen entsprechenden Konfigurationsabschnitt in der CA-Konfiguration an, kann man damit zu RFC 9310 konforme Zertifikate erstellen: 

[ rfc9310_ext ]


keyUsage                = critical,digitalSignature
basicConstraints        = CA:false
extendedKeyUsage        = clientAuth
subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid:always
authorityInfoAccess     = @issuer_info
crlDistributionPoints   = @crl_info

Nutzt man die oben angegebene Konfiguration für die Erzeugung des Requests, muss noch eine entsprechende Policy-Section zur Validierung des Distinguished Name (DN) eingebaut werden, die beispielhaft wie folgt aussehen könnte: 

[ rfc9310_pol ]
countryName             = supplied
organizationName        = supplied

Signiert man einen CSR unter Benutzung dieser beiden Optionen, erhält man ein Zertifiktat eintsprechend RFC 9310: 

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha512WithRSAEncryption
        Issuer: C = DE, O = Damaschkestr. 11, OU = Arbeitszimmer, CN = Dama11 Lab Component Test CA
        Validity
            Not Before: Jan 13 07:27:14 2023 GMT
            Not After : Jan 13 23:59:59 2026 GMT
        Subject: C = DE, O = "ACME, Inc."
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    00:a0:f4:d0:f0:d1:94:0a:2f:51:f2:be:a1:25:4d:
// ... snip ...
                    d2:91:73:2f:d3:dc:7a:b5:75:ca:77:15:83:4e:26:
                    5e:00:5f
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Subject Key Identifier:
                4E:B4:E0:91:1C:E7:4B:BB:5B:46:47:8A:B3:28:FD:EE:96:E1:B1:9C
            X509v3 Authority Key Identifier:
                keyid:8E:E3:1C:A5:A3:ED:35:B8:9E:61:08:03:F1:CF:54:9C:07:A4:22:1C


            Authority Information Access:
                CA Issuers - URI:https://elbosso.github.io/x509//Dama11_Component_Test_CA-ca.crt


            X509v3 CRL Distribution Points:


                Full Name:
                  URI:https://elbosso.github.io/x509//Dama11_Component_Test_CA-ca.crl


            1.3.6.1.5.5.7.1.34:
                0...AMF
            X509v3 Certificate Policies:
                Policy: 2.16.840.1.101.3.2.1.48.157


            X509v3 Subject Alternative Name:
                DNS:amf1.cluster1.net2.amf.5gc.mnc400.mcc311.3gppnetwork.org, URI:urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6
    Signature Algorithm: sha512WithRSAEncryption
         41:23:6f:a7:c7:2f:c9:ef:23:45:5a:4f:bf:86:90:38:e5:04:
// ... snip ...
         85:01:30:f9:a7:61:c9:56:7c:08:a2:9d:80:00:42:ba:98:c8:
         12:ee:1a:01:0f:37:c4:65

Die hier eingesetzte Zertifikatspolicy it übrigens 2.16.840.1.101.3.2.1.48.157 bzw. Test Certificate Policy to Support PKI Pilots and Testing.

In CSR und Zertifikat wurden einige der Blöcke abgekürzt. Wer sich selbst ein Bild machen möchte, kann das mit dem hier im PEM-Format abgelegten Zertifikat tun: 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp

Vor 5 Jahren hier im Blog

  • Multi-User-WebDAV, Docker, GitHub

    17.11.2019

    Nachdem ich mich in letzter Zeit verstärkt mit Docker und dem zugehörigen Ökosystem beschäftige, habe ich begonnen, verschiedenste Dienste in Containern zu testen um zu sehen, ob in manchen Fällen LXC oder KVM nicht doch die bessere Wahl wäre...

    Weiterlesen...

Tags

Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Jupyter Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...

Neueste Artikel

  • Migration der Webseite und aller OpenSource Projekte

    In eigener Sache...

    Weiterlesen...
  • AutoHideToolbar für Java Swing

    Ich habe eine neue Java Swing Komponente erstellt: Es handelt sich um einen Wrapper für von JToolBar abgeleitete Klassen, die die Werkzeugleiste minimieren und sie nur dann einblenden, wenn der Mauszeiger über ihnen schwebt.

    Weiterlesen...
  • Integration von EBMap4D in die sQLshell

    Ich habe bereits in einem früheren Artikel über meine ersten Erfolge berichtet, der sQLshell auf Basis des bestehenden Codes aus dem Projekt EBMap4D eine bessere Integration für Geo-Daten zu spendieren und entsprechende Abfragen, bzw. deren Ergebnisse auf einer Kartenansicht zu visualisieren.

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.