Имеются некоторые ограничения при работе с расширениями сертификата (Extensions), которые помечены как критичные. В таблице приведен список расширений сертификата, которые будут распознаваться и обрабатываться Продуктом, если у них установлен признак критичности TRUE. Если в сертификате будут присутствовать другие расширения, не указанные в таблице и заданные как критичные, то такой сертификат не может быть использован. Если же расширение отсутствует в таблице, но является некритичным, то оно игнорируется, и сертификат используется.
Name |
OID value |
Subject Key Identifier |
2.5.29.14 |
Key Usage |
2.5.29.15 |
Subject Alternative Name |
2.5.29.17 |
Issuer Alternative Name |
2.5.29.18 |
Basic Constraints |
2.5.29.19 |
Name Constraints |
2.5.29.30 |
CRL Distribution Points |
2.5.29.31 |
Authority Key Identifier |
2.5.29.35 |
Описания значений и полный список Certificate Extensions можно посмотреть в документе RFC 5280 (http://tools.ietf.org/html/rfc5280#section-4.2).
Можно изменить реакцию Продукта на отдельные расширения сертификата, помеченные как критичные и отсутствующие в вышеприведенной таблице. Администратор может настроить список расширений сертификата, который будут игнорироваться Продуктом, как если бы эти расширения являлись некритичными. Эти расширения надо описать в файле x509opts.ini, который расположен в каталоге /opt/VPNagent/etc. Расширения описываются в секции IgnoringUnsupportedCriticalExtentions.
Игнорируемое Critical Extention задается в формате <KEY>=<OID>, где:
<KEY> – имя расширения, состоящее из букв и цифр и не содержащее разделителей, должно быть уникальным в пределах секции;
<OID> – OID игнорируемого расширения, состоящий из десятичных чисел, разделенных точками. Распознавание расширения происходит по OID.
Пример файла x509opts.ini:
[IgnoringUnsupportedCriticalExtentions]
!!
! Key name is any Alpha-Numerical well-known name of OID
! Key names of different OIDs cannot match
!!
subjectDirectoryAttributes=2.5.29.9
CertificatePolicies=2.5.29.32
QcStatements=1.3.6.1.5.5.7.1.3
HcRole=1.0.21091.2.0.5
Примечание 1: следует подчеркнуть, что таким образом нельзя проигнорировать распознаваемые Продуктом Critical Extentions, например BasicConstraints.
Примечание 2: секция IgnoringUnsupportedCriticalExtentions, даже пустая, обязательно должна прсутствовать в файле x509opts.ini.