<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    On 10/21/2011 9:46 AM, Christina wrote:
    <blockquote cite="mid:4EA1A1F2.40509@redhat.com" type="cite">On
      10/21/2011 09:20 AM, Rob Crittenden wrote:
      <br>
      <blockquote type="cite">Shanks was testing signing an IPA CA cert
        request with an external CA and found an issue, see
        <a class="moz-txt-link-freetext" href="https://fedorahosted.org/freeipa/ticket/2019">https://fedorahosted.org/freeipa/ticket/2019</a> for full details.
        <br>
        <br>
        In short the issue is the CA he did the signing with wasn't
        really a full CA. It was lacking all sorts of constraints. I had
        him try again using a proper CA and it worked fine.
        <br>
        <br>
        We'd like to detect this at install time, I'm just not exactly
        sure what the minimum requirements are. I also wonder if dogtag
        should be doing this enforcement or if IPA should (or both,
        perhaps).
        <br>
        <br>
        Where should we start?
        <br>
        <br>
        rob
        <br>
        <br>
        _______________________________________________
        <br>
        Pki-devel mailing list
        <br>
        <a class="moz-txt-link-abbreviated" href="mailto:Pki-devel@redhat.com">Pki-devel@redhat.com</a>
        <br>
        <a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/pki-devel">https://www.redhat.com/mailman/listinfo/pki-devel</a>
        <br>
      </blockquote>
      The short answer is, at the minimum you need to have the Basic
      Constraints extension, but then you also need to have others like
      Authority Key Identifier.  The key usage has to be right, etc. 
      you can look up x509 rfc.
      <br>
      <br>
      Dogtag does have self test module to test the system certs when
      they are started.  In the CA's case, it should report it if it's
      not a proper CA.  I believe the test is on by default.  You can
      look in CS.cfg for ca.cert.signing.nickname and make sure your new
      nickname is there ... you can also see the pairing
      ca.cert.signing.certusage=SSLCA, which is to tell the server that
      it is expected to be a CA cert, so that the server will report
      error and refuse to start if fails the test.
      <br>
      <br>
      Christina
      <br>
      <br>
      <br>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Pki-devel mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Pki-devel@redhat.com">Pki-devel@redhat.com</a>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/pki-devel">https://www.redhat.com/mailman/listinfo/pki-devel</a>
</pre>
    </blockquote>
    <tt><br>
      It is always good to check RFC 5280 for guidelines:
      <a class="moz-txt-link-freetext" href="http://www.ietf.org/rfc/rfc5280.txt">http://www.ietf.org/rfc/rfc5280.txt</a><br>
      <br>
      Andrew<br>
    </tt>
  </body>
</html>