Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
8.4. Extended Key Usage 145<br />
� £����������������������<br />
��¡��¤¡�������� ¢¡¤£¦¥¨§�©<br />
��� �������������������¦����� � ¡¤£¦��¡���� � ������¡¤��� ����� ������¡¤���<br />
�<br />
�����¨��������������¥�¡����¦�������<br />
¢¡ � ��¡¤£���¡¤£ � � ¥���¡���¥����¦��¡�£ � ���������� ¢¡ � ����¡¤£���¡�£��<br />
�¨����<br />
� ¥���¡���¥�������¥������ ������������������� � � £����� �¡ � ��� � ��¡���¥��<br />
�<br />
¢¡ � � � ��¡¤��¥ � � ¥���¡���¥����¦��¡�£ � ���������� ¢¡ � ��� � ��¡���¥��<br />
�¨����<br />
� ¥���¡���¥�������¥������ ������������������� � � £����� �¡ � ����¡¤£���¡¤£<br />
�<br />
��������������������� ��¡¤��� � £�����������¡¤£ � ������������£�����£���������������¡<br />
������¡��������������<br />
� ��£���¥�¡¤�¤¥������ ����������������������������� ��¡¤��� � £ � ¡¤£¦��¡���� � ��������¥�������������������§�¥��¨��£�¡<br />
�������<br />
� ����������� ��� ¡���¥¦�������¦����¡�£¦¥�¡�� � ���<br />
������¡���¥������������ ���¤������������������� ����������¡�£<br />
� ��¡�� © ��£�����¡�����¡¤£¦¥¦£�� � ¡������ © � £�������¡�����¡���¥���¥�¡�����¡ � �<br />
�<br />
� � � ������¡�������������� �����������������<br />
�������������<br />
� ������¡�������������� �����������������<br />
��������¡�£������<br />
�����¤£����¦��§�¥¦������¥�¡����¦�������<br />
� ��¥�������¥�������������� �����������������<br />
��£<br />
��������� ��¡¤£���¡�£¦����¡¤£¦¥���������¥�����¥���� � � � � � ��¡¤£���¡¤£������<br />
��¡�£���¡¤£�����¥�¡�����£¦����¥��<br />
¡¤£��¦��� � © � �¦�¦¡ ��� ������������������¡�¥¦£����¦����¡¤����¡¤���¨� � £<br />
�����¤£¦����¥�¡������ � ¡�������¥�¡�� ��������� ����¥�¡����¦������¥�¡���� � ¡¤£��¦��� � © � �¦�¦¡ ��� ��� �<br />
��¡¤¥��¦������¡¤������¥�¡����¦�������<br />
��������� ��¡¤£���¡�£¦����¡¤£¦¥���������¥�����¥ � � � � � � � ��¡¤£���¡¤£������<br />
��¡�£���¡¤£�����¥�¡�����£¦����¥��<br />
In der Microsoft-Dokumentation (s.o.) steht, daß für den Einsatz von Zertifikaten im Zusammenhang<br />
mit Microsofts „Authenticode“ nur der Wert codeSigning für Extended Key Usage angegeben<br />
sein darf. Ebenfalls in dieser Dokumentation steht, daß die Gültigkeit von Extended Key<br />
Usage im Anwendungszertifikat nur gegeben ist, wenn sämtliche Zertifikate der Zertifikatkette diese<br />
Extension enthalten. Ist die Extension dagegen garnicht enthalten, sollen MS-Anwendungen das<br />
Zertifikat für jeden durch Key Usage beschriebenen Zweck als gültig interpretieren.<br />
Auch Netscape scheint das Setzen der Extension in allen Zertifikaten der Kette zu unterstützen. Es<br />
scheint aber doch fraglich, wieviel Sinn es beispielsweise macht, in einen CA-Zertifikat Extended<br />
Key Usage auf email zu setzen, damit die Extension in einem Anwendungszertifikat gültig ist. Die<br />
Empfehlungen von Netscape für diese Extension können im Installation and Deployment Guide 7 ,<br />
Appendix B, nachgelesen werden.<br />
Zu Netscapes bzw. Microsofts SGC (“Server Gated Cryptography”) ist anzumerken, daß die Verwendung<br />
dieser Werte nur im Zusammenhang mit speziellen CA-Zertifikaten sinnvoll ist. Diese<br />
CA-Zertifikate werden durch ein Flag im Browser als für SGC geeignet gekennzeichnet. Ein eigenes<br />
CA-Zertifikat kann nur nach Import in den Browser <strong>und</strong> anschließendem Patchen der Zertifikat-<br />
Datenbank (Netscape) mit diesem Flag ausgestattet werden. Genaueres steht in der Datei READ-<br />
ME.GlobalID des SSL-Apache-Pakets 8 .<br />
Eine Empfehlung für die Werte dieser Extension ist nur schwer zu geben, gerade wegen der MS-<br />
Forderung, daß die Extension in allen Zertifikaten der Kette enthalten sein muß. Am sinnvollsten<br />
scheint es zu sein, ganz auf diese Extension zu verzichten.<br />
7 http://developer.netscape.com/docs/manuals/cms/41/dep_gide/ext.htm<br />
8 http://www.modssl.org/