Standalone Root CA does not enforce KeyUsage settings from CAPolicy.inf when issuing certificates

Daniel

05.05.2023, 12:17

I have a standalone root CA (RootCA) and an enterprise subordinate CA (SubCA). Both Windows Server 2019.

The RootCA seems to ignore the CAPolicy.inf file configuration settings, when attempting to sign the SubCA's CSR, as shown in the pending request properties view:

The CAPolicy.inf on the RootCA (%SystemRoot%\CAPolicy.inf) is this:

[Version]
Signature= "$Windows NT$"

[Strings]
szOID_KEY_USAGE = "2.5.29.15"

[Extensions]
%szOID_KEY_USAGE% = AwIBhg==
Critical = %szOID_KEY_USAGE%

During RootCA installation, the CAPolicy.inf was used to make the KeyUsage extension of the root certificate critical. This can be seen in the root certificate properties as well as in the certocm.log: Opened Policy inf: C:\Windows\CAPolicy.inf

The documentation states

The CAPolicy.inf is a configuration file that defines the extensions, constraints, and other configuration settings that are applied to a root CA certificate and all certificates issued by the root CA.

So, why does the RootCA ignore the CAPolicy.inf when issuing a (SubCA) certificate, despite the docs stating otherwise?

109

0 + 0

брандмауэр

пки

Рейтинг:1

Server

garethTheRed

05.05.2023, 17:37

Если CSR имеет Базовое ограничение расширение установлено на КА = Истина CA по умолчанию будет использовать то, что вы видите выше. Вы можете переопределить это, запустив в подписывающем ЦС (корневом) следующее:

certutil -setreg policy\EditFlags -EDITF_ADDOLDKEYUSAGE

Перезапустите службу и повторите попытку.

0 + 0

Daniel

05.05.2023, 20:37

Спасибо за это, это сработало. Из любопытства: можете ли вы объяснить, почему это называется «Добавить использование старого ключа», а не, например, «Добавить использование ключа по умолчанию» или подобное? Я не понимаю, что означает «старый».

Ответить

garethTheRed

05.05.2023, 22:07

Я могу только представить, что первоначальная схема заключалась в том, чтобы всегда подписывать запрос. Опция была доступна на сервере 2003, поэтому «Старый» очень старый — сервер 2000.

Ответить

Admin

Этот вопрос на других языках:

EN: Standalone Root CA does not enforce KeyUsage settings from CAPolicy.inf when issuing certificates

TH: CA หลักแบบสแตนด์อโลนไม่บังคับใช้การตั้งค่า KeyUsage จาก CAPolicy.inf เมื่อออกใบรับรอง

RO: CA rădăcină autonomă nu impune setările KeyUsage din CAPolicy.inf atunci când emit certificate

RU: Standalone Root CA does not enforce KeyUsage settings from CAPolicy.inf when issuing certificates

VI: CA gốc độc lập không thực thi cài đặt KeyUsage từ CAPolicy.inf khi cấp chứng chỉ

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.