Где получить SSL-сертификат с дополнительными EKU?
Ищу CA, который бы выдал SSL-сертификат с дополнительными, несколько экзотичными, EKU (в частности, 1.3.6.1.5.5.8.2.2 — "IPSec Intermediate System Usage"). Самодельный сертификат не подходит — нужен подписанный кем-то общеизвестным. В техподдержке Namecheap и Comodo сказали, что ничем помочь не могут. Может, кто-то сталкивался с подобной задачей?
Как правило, общеизвестные CA игнорят запросы, которые отличаются от типовых хоть немножечко. Я как-то искал СA, которое выдало бы сертификат subСA - thawte и comodo просто промолчали в ответ :) Им незачем заморачиваться подобной задачей - бизнес и так прет, а это нужно отдельный шаблон под Вас, такого необыкновенного, генерить...
Может рассмотреть вопрос с другой стороны - почему не походит собственный CA и можно ли что-то сделать в этом направлении?
Спасибо! Да, прихожу к тому же мнению :) Хотелось бы, чтобы пользователи могли подключаться, не устанавливая мой корневой сертификат. А совсем без сертификата вроде как IKEv2 вообще не заводится.
Роман: С когда это? Strongswan на ура взлетает. Микротик еще не пробовал - все некогда, хотя надо бы. Да и вообще если планируете пускать юзеров по сертификатам - разорились бы на персональных сертификатах, свой CA - в таком случае не прихоть, а суровая финансовая необходимость :)
Роман: ну это да. Но например зачем Вам OID 1.3.6.1.5.5.8.2.2 - разве без него не работает? (нет у меня яббла, проверить не на чем). В андроиде канает обычный сертификат, без расширенных свойств. И еще момент - даже если бы нашелся такой CA - они же опять денег стоят. Кстати, в Let's Encrypt написать не пробовали?
С продуктами Apple тоже были нюансы, кажется. А насчет Let's Encrypt не подумал сходу. Точнее, подумал, но почему-то решил, что их сертификатам девайсы доверять не будут без установки корневого сертификата. Сейчас разберусь, спасибо за идею!
"Certificates issued are marked with the X509v3 Extended Key Usage flags for id-kp-serverAuth and id-kp-clientAuth [...] Other uses permitted by the EKU flags are not officially supported by Let's Encrypt."
"Public CAs typically only allow a small number of EKU flags that are mentioned in the Certification Practice Statement (CPS), in Let's Encrypt's case that's id-kp-serverAuth and id-kp-clientAuth."
Роман: Не получится :) Это как vmware - одинокий гипер можно поставить совершенно бесплатно и пользоваться им хоть до морковкина заговенья, но как только нужны хоть какие-то продвинутые фичи - welcome покупать vcenter :)
Простой
Простой
