Olaf Gellert wrote: > Hallo, > > >>So das sind knapp 20 Mails. Wer also etwas Zeit hat ... >> >>http://www.mail-archive.com/openssl-dev%40openssl.org/msg13538.html > > > Danke, das war einfach und loest die Frage. Man braucht > noch nicht einmal alle zwanzig Mails lesen... ;-) > > Grusz... Olaf Gellert
Leider löst das aber nur die Frage, was in die Extension rein muss/darf. Aber m.E. nicht völlig die Frage nach dem Verhalten von Applikationen:-) Ausser das MS mit der Kombination von DN und SN Probleme hat. Was also sollte man Eurer Meinung nach tun? 1) Extension ganz weglassen? Was ist dann z.B. bei Schlüsselwechsel, wenn noch Zertifikate in Umlauf sind, die mit dem alten Schlüssel signiert wurden und Applikationen den richtigen Schlüssel nicht finden? 2) Nur keyid setzen? Das scheint mir am besten, da das obige Problem damit gelöst ist. Aber wie wird der Zertifizierungspfad verifiziert: Root1 -> ServerCAcert1 -> Servercert oder Root2 -> ServerCAcert2 -> Servercert Da im Servercert nur die keyid der ServerCA auftaucht, müssten doch eigentlich beide gültig sein. Oder wurde das in den angesprochenen Emails auch beantwortet und ich hab es übersehen? Gruß, Gerd -- ------------------------------------------------------ -- Gerd Schering, Email: [EMAIL PROTECTED] -- -- TU Berlin, Zentraleinrichtung Rechenzentrum -- -- Sekr. E-N 50, Einsteinufer 17, 10587 Berlin -- -- phone: +49 30 314 24383, fax: +49 30 314 21060 -- ------------------------------------------------------
smime.p7s
Description: S/MIME Cryptographic Signature
