Где получить SSL-сертификат с дополнительными EKU?

Question

[Роман]

Ищу CA, который бы выдал SSL-сертификат с дополнительными, несколько экзотичными, EKU (в частности, 1.3.6.1.5.5.8.2.2 — "IPSec Intermediate System Usage"). Самодельный сертификат не подходит — нужен подписанный кем-то общеизвестным. В техподдержке Namecheap и Comodo сказали, что ничем помочь не могут. Может, кто-то сталкивался с подобной задачей?

Comments

[Роман]

godaddy — тоже отказ.

Answer 1

[CityCat4]

Как правило, общеизвестные CA игнорят запросы, которые отличаются от типовых хоть немножечко. Я как-то искал СA, которое выдало бы сертификат subСA - thawte и comodo просто промолчали в ответ :) Им незачем заморачиваться подобной задачей - бизнес и так прет, а это нужно отдельный шаблон под Вас, такого необыкновенного, генерить...
Может рассмотреть вопрос с другой стороны - почему не походит собственный CA и можно ли что-то сделать в этом направлении?

Comments

[Роман]

Спасибо! Да, прихожу к тому же мнению :) Хотелось бы, чтобы пользователи могли подключаться, не устанавливая мой корневой сертификат. А совсем без сертификата вроде как IKEv2 вообще не заводится.

[CityCat4]

Роман: С когда это? Strongswan на ура взлетает. Микротик еще не пробовал - все некогда, хотя надо бы. Да и вообще если планируете пускать юзеров по сертификатам - разорились бы на персональных сертификатах, свой CA - в таком случае не прихоть, а суровая финансовая необходимость :)

[Роман]

CityCat4: Strongswan-то взлетает, но ни iOS, ни macOS не подключатся к серверу без доверенного сертификата из коробки :)

[CityCat4]

Роман: ну это да. Но например зачем Вам OID 1.3.6.1.5.5.8.2.2 - разве без него не работает? (нет у меня яббла, проверить не на чем). В андроиде канает обычный сертификат, без расширенных свойств. И еще момент - даже если бы нашелся такой CA - они же опять денег стоят. Кстати, в Let's Encrypt написать не пробовали?

[Роман]

CityCat4: Я наврал, без него винда не работает :) https://wiki.strongswan.org/projects/strongswan/wi...

С продуктами Apple тоже были нюансы, кажется. А насчет Let's Encrypt не подумал сходу. Точнее, подумал, но почему-то решил, что их сертификатам девайсы доверять не будут без установки корневого сертификата. Сейчас разберусь, спасибо за идею!

[CityCat4]

Роман: Смотрите список корневых - если корневой СA Let;s Encrypt там есть - будут.

[Роман]

Похоже, увы.

https://community.letsencrypt.org/t/custom-extende...

https://community.letsencrypt.org/t/use-on-non-web...

"Certificates issued are marked with the X509v3 Extended Key Usage flags for id-kp-serverAuth and id-kp-clientAuth [...] Other uses permitted by the EKU flags are not officially supported by Let's Encrypt."

"Public CAs typically only allow a small number of EKU flags that are mentioned in the Certification Practice Statement (CPS), in Let's Encrypt's case that's id-kp-serverAuth and id-kp-clientAuth."

[CityCat4]

Роман: Так же как и везде... А какого клиента на винде использовали?

[Роман]

CityCat4: Там есть встроенная поддержка IKEv2 в новых виндах (не помню, с какой версии), с ней и работали

[CityCat4]

Роман: Попробуйте внешних клиентов - есть платный GreenBow, есть бесплатный ShrewSoft

[Роман]

Вся соль идеи была в том, чтобы обойтись без внешних клиентов... :)

[CityCat4]

Роман: Не получится :) Это как vmware - одинокий гипер можно поставить совершенно бесплатно и пользоваться им хоть до морковкина заговенья, но как только нужны хоть какие-то продвинутые фичи - welcome покупать vcenter :)

[Роман]

Ну, как бы пока что всё упёрлось только в эти EKU :) Буду искать варианты, не торопясь

Answer 2

[retaliation]

Sub CA по стоимости будет где-то 75000$ + плата по прайсу за каждый сертификат

Comments

[Роман]

Спасибо! Для меня запредельно дорого, к сожалению, особенно с учетом того, что вся задача сводится к "сертификат с парой дополнительных EKU" :)

[CityCat4]

То есть за выпущенные в subCA сертификаты все равно платить? :)

[retaliation]

CityCat4: ага :)

[CityCat4]

retaliation: Ну че, козлы :) Что тут сказать. Не, у меня конечно такого бабла в бюджете никогда не будет - но они козлы даже чиста в теории

Answer 3

[navion]

Я подключался к FlexVPN (IKEv2 на Cisco ISR G2) с сертификатом Comodo через встроенный клент Винды и Макоси, так что вряд ли дело в EKU.