Certificate Assistant intercambia configuraciones de extensión para CA / Usuarios

Intento establecer una Autoridad de certificación raíz usando Keychain Access / Certificate Assistant, pero me estoy metiendo en problemas.

Al crear la autoridad, el asistente le pide que ingrese las configuraciones de Uso de key y Extensión de uso de key extendida tanto para la propia CA como para los usuarios de la misma. Sin embargo, después de la finalización del certificate, parece haber sido cambiado. Entonces, la CA parece tener la configuration que se ingresó para los usuarios de la CA.

Para fines de demostración, realicé algunas capturas de pantalla para configurar una CA de testing:

enter image description here

Esta configuration arrojará el certificate que se ve a continuación:

Como puede ver, los valores para el uso de la key y las extensiones de uso de la key extendida provienen de los valores ingresados ​​para los usuarios de esta CA. Mientras que los valores para las restricciones básicas y el nombre alternativo del sujeto parecen tomarse correctamente de los valores ingresados ​​para la CA misma.

Ahora tengo algunas preguntas sobre esto:

  • ¿Es esto un error en el asistente de certificate y las extensiones 2 y 3 a continuación están incorrectamente tomadas del asistente? (Si es así, tendré que usar OpenSSL)
  • De lo contrario, ¿cuál es la razón por la que el certificate mostraría los valores pnetworkingeterminados que usa para los certificates que emitirá? Y en ese caso, ¿el campo Uso de key en el n. ° 1 a continuación representa los valores correctos ingresados ​​para la CA?
  • ¿Los valores de usuario ingresados ​​para esas 2 extensiones afectan los certificates emitidos de alguna manera? (Si se modifican los valores pnetworkingeterminados para el certificate emitido). La razón por la que pregunto esto es porque he leído en alguna parte que la extensión de uso de la key establece valores pnetworkingeterminados para los certificates emitidos, mientras que la extensión de uso de la key extendida establece restricciones para los certificates emitidos.

enter image description here

  • Línea de command Firewall
  • FileVault 2 Unidad encriptada fue reformateada por ladrón y luego devuelta. ¿Se pueden rescatar los datos encryptions originales?
  • Compartir carpetas entre 2 usuarios
  • ¿Dónde guarda OS X la contraseña de FileVault durante los reinicios en una actualización?
  • La function de deslocking de Apple Watch para MacOS Sierra requiere desactivar la verificación en dos pasos
  • ¿Puedo decir si "Borrar datos" está habilitado desde la pantalla de locking?
  • macOS File Vault 2 El encryption de disco completo no parece funcionar
  • ¿Puedo restablecer la contraseña del firmware a través de Buscar mi Mac?
  • One Solution collect form web for “Certificate Assistant intercambia configuraciones de extensión para CA / Usuarios”

    Así que he estado investigando más a background y, por lo que he leído aquí y allá, estoy bastante seguro de que no debería estar haciendo esto. He informado este error a Apple y si alguna vez recibo una respuesta de ellos, actualizaré esta publicación.

    Si alguien con el mismo problema encuentra esta publicación, esta es la solución temporal que utilicé:

    1. Cree la autoridad de certificación y para cualquier extensión que le proporcione dos pantallas, ingrese los mismos valores en ambos. Esos deberían ser los valores que desea en el certificate en sí.
    2. Cuando termine, vaya a ~/Library/Application Support/Certificate Authority/[ca name] y edite allí el file de plantilla para los valores que desea ingresar en la segunda pantalla de cada extensión.
    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).