none
Microsoft PKI - OID Richtlinien, warum und wo? RRS feed

  • Frage

  • Hallo,

    ich setze gerade eine MS PKI auf, und frage mich was es mit der OID auf sich hat.

    1. Gibt es für die OID spezielle Richtlinien, wie diese Aufgebaut ist? (Ich weiß vom IANA teil und der Enterprise Number, aber was kommt danach)

    2. Brauche ich eine OID und muss ich diese in die Policys einpflegen?

    3. Was bringt es mir, diese in die Policys einzupflegen und im Issuer Statement anzugeben?

    Ich freue mich, über konstruktive Antworten und Hilfe, ich steige bei PKI langsam durch, aber das thema OID ist für mich ein Buch mit sieben Siegeln ;-)

    Viele Grüße

    Donnerstag, 22. November 2012 12:49

Antworten

  • Hi,

    Am 22.11.2012 13:49, schrieb Fireblade310:

    1. Gibt es für die OID spezielle Richtlinien, wie diese Aufgebaut
    ist? (Ich weiß vom IANA teil und der Enterprise Number, aber was
    kommt danach)

    ... danach folgt "deine" Nummer, die dir von der IANA zugeteilt wurde.

    2. Brauche ich eine OID und muss ich diese in die Policys
    einpflegen?

    Die OID brauchst du immer, wenn du sie nicht angibst, wird sie von MS selbstständig generiert aus einem eigenen Nummerkreis.
    Die IANA bietet dir eine "offizielle" Nummer, die dir gehört.

    3. Was bringt es mir, diese in die Policys einzupflegen und im Issuer
    Statement anzugeben?

    ... falls du jemals mit der Idee spielst die Zertifikate nicht nur intern zu verwenden, dann wäre es doch nett, wenn jemand die Nummer prüfen kann und von einer objektiven Stelle (IANA) gesagt kriegt, daß du der bist, der du behauptest zu sein.

    Schau dir mal die CAPolicy.inf an:
    http://technet.microsoft.com/en-us/library/cc728279(v=ws.10).aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Fireblade310 Freitag, 23. November 2012 08:28
    Donnerstag, 22. November 2012 12:57
  • Hi,

    Am 22.11.2012 16:31, schrieb Fireblade310:

    d.h. ich pflege schon in der Root CA eine Policy mit meiner OID ein,  [...]

    Genaugenommen brauchst du sie nur, wenn du eigene Objekte definieren möchtest und gibst sie dann in der CPS an.
    Ich denke nur es ist schöner/besser das mit einer offiziell bei IANA angemeldeten zu tun, als mit einer die generiert wurde.

    Es ist aber auch so, dass das OID an sich zwar meine Visitenkarte
    ist, sie aber mir persönlich keinerlei Sicherheit bringt, denn jeder
    könnte sie sich in sein zertifikat schreiben?

    So gesehen hast du Recht. Sie ist ja Public, von daher kann sie jeder nutzen. Es ist nur wie der Eintrag im Telefonbuch.
    Wäre halt doof, wenn der nicht stimmt, bzw. wenn du eine andere verwendest, also evtl. "irgendwer" offiziell für dich registriert hat :-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Fireblade310 Freitag, 23. November 2012 08:28
    Donnerstag, 22. November 2012 16:27

Alle Antworten

  • Hi,

    Am 22.11.2012 13:49, schrieb Fireblade310:

    1. Gibt es für die OID spezielle Richtlinien, wie diese Aufgebaut
    ist? (Ich weiß vom IANA teil und der Enterprise Number, aber was
    kommt danach)

    ... danach folgt "deine" Nummer, die dir von der IANA zugeteilt wurde.

    2. Brauche ich eine OID und muss ich diese in die Policys
    einpflegen?

    Die OID brauchst du immer, wenn du sie nicht angibst, wird sie von MS selbstständig generiert aus einem eigenen Nummerkreis.
    Die IANA bietet dir eine "offizielle" Nummer, die dir gehört.

    3. Was bringt es mir, diese in die Policys einzupflegen und im Issuer
    Statement anzugeben?

    ... falls du jemals mit der Idee spielst die Zertifikate nicht nur intern zu verwenden, dann wäre es doch nett, wenn jemand die Nummer prüfen kann und von einer objektiven Stelle (IANA) gesagt kriegt, daß du der bist, der du behauptest zu sein.

    Schau dir mal die CAPolicy.inf an:
    http://technet.microsoft.com/en-us/library/cc728279(v=ws.10).aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Fireblade310 Freitag, 23. November 2012 08:28
    Donnerstag, 22. November 2012 12:57
  • Hi,

    Am 22.11.2012 13:49, schrieb Fireblade310:

    1. Gibt es für die OID spezielle Richtlinien, wie diese Aufgebaut
    ist? (Ich weiß vom IANA teil und der Enterprise Number, aber was
    kommt danach)

    ... danach folgt "deine" Nummer, die dir von der IANA zugeteilt wurde.

    2. Brauche ich eine OID und muss ich diese in die Policys
    einpflegen?

    Die OID brauchst du immer, wenn du sie nicht angibst, wird sie von MS selbstständig generiert aus einem eigenen Nummerkreis.
    Die IANA bietet dir eine "offizielle" Nummer, die dir gehört.

    3. Was bringt es mir, diese in die Policys einzupflegen und im Issuer
    Statement anzugeben?

    ... falls du jemals mit der Idee spielst die Zertifikate nicht nur intern zu verwenden, dann wäre es doch nett, wenn jemand die Nummer prüfen kann und von einer objektiven Stelle (IANA) gesagt kriegt, daß du der bist, der du behauptest zu sein.

    Schau dir mal die CAPolicy.inf an:
    http://technet.microsoft.com/en-us/library/cc728279(v=ws.10).aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm


    Danke für deine Antwort.

    Zur OID generell, nach der Enterprise Number gibt es aber keine Richtlinien mehr, was dann kommen soll, oder? Ich suche mich seit Tagen tot nach Infos dazu.

    d.h. ich pflege schon in der Root CA eine Policy mit meiner OID ein, so sieht man sie und meine Identität kann geprüft werden UND alle Issue CAs müssen diese OID in der Policy mitbringen, verstehe ich das richtig?

    Es ist aber auch so, dass das OID an sich zwar meine Visitenkarte ist, sie aber mir persönlich keinerlei Sicherheit bringt, denn jeder könnte sie sich in sein zertifikat schreiben?

    Donnerstag, 22. November 2012 15:31
  • Hi,

    Am 22.11.2012 16:31, schrieb Fireblade310:

    d.h. ich pflege schon in der Root CA eine Policy mit meiner OID ein,  [...]

    Genaugenommen brauchst du sie nur, wenn du eigene Objekte definieren möchtest und gibst sie dann in der CPS an.
    Ich denke nur es ist schöner/besser das mit einer offiziell bei IANA angemeldeten zu tun, als mit einer die generiert wurde.

    Es ist aber auch so, dass das OID an sich zwar meine Visitenkarte
    ist, sie aber mir persönlich keinerlei Sicherheit bringt, denn jeder
    könnte sie sich in sein zertifikat schreiben?

    So gesehen hast du Recht. Sie ist ja Public, von daher kann sie jeder nutzen. Es ist nur wie der Eintrag im Telefonbuch.
    Wäre halt doof, wenn der nicht stimmt, bzw. wenn du eine andere verwendest, also evtl. "irgendwer" offiziell für dich registriert hat :-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    • Als Antwort markiert Fireblade310 Freitag, 23. November 2012 08:28
    Donnerstag, 22. November 2012 16:27