Brauche Client Zertifikat (SoftPSE) für Bitbucket Zugriff

Warum brauchst du fürn Zugriff ein Zertifikat?

Willst du eine Binary signieren? (Code Signing Certificate)?

Zitat aus einem Post von daisho

Alle Infos die ich habe:
- subject common name 'has to state the supplier company name' (nehme an Firma im Text von O/OU ist damit gemeint)
- Recommendation to use certificate class 3 (extended validation) - klingt aber nicht nach Muss
- RSA 2048 or better 4096 (2048 ist wohl überall Standard, kann mir nicht vorstellen das jemand mit weniger generiert)

Nein, der CN ist eine eigene Property in der X.509-Struktur, die da letztendlich signiert werden wird, und hat mit O und/oder OU nix zu tun.

Du willst wohl i. w. einen korrekt formulierten CSR (Certificate Signing Request = Pubkey plus Metadaten) an eine CA zur "Ueberpruefung" (lol) und zum Signieren (gegen $$$) schicken, und von denen dann das Zertifikat zurueckbekommen, das du dann an die Hanseln mit der SCM-Plattform weiterreichst. Infolgedessen kannst du mit dem zum urspruenglichen CSR gehoerenden Private Key beweisen, dass die von der CA "zertifizierte" Entitaet du bist/du im Besitz des zugehoerigen Private Keys bist, und dich deswegen dann an der SCM-Plattform anmelden. Das "Class 3 EV'-Blahblah hat nix mit dem CSR zu tun, sondern nur mit der CA, die dann "genauer prueft", wer ihr da Geld in den Rachen werfen wird. Wuerde ich skippen, wenn das den Hanseln egal ist, weil das ist nur teures Schlangenoel.


Ich hab einen clientseitigen CSR-Generator online, der dir mglw. auch helfen kann: https://johannes.truschnigg.info/csr/ - wenn das nicht dienlich ist, kann man sowas auch recht einfach mit OpenSSL machen. Antworte hier im Thread nochmal, wenn du das brauchst.

Es ist komplett egal, welche CA das Zertifikat signiert hat, so lange die auswertende Stelle dieser CA vertraut. Dann prueft man idR nur (z. B.) den CN, weil man ja davon ausgeht, dass die CA ueberprueft hat, ob/dass der CSR-Antragsteller diesen CN "zu Recht" in die Metadaten seines Zertifikat hat aufnehmen und so signiert mit seinem Pubkey verknuepfen lassen.

Wenn ein Unternehmen so wenig Ahnung hat, dass es seinen Partnern optimalerweise zu einem EV-Zertifikat raet, halte ich beinahe ALLES fuer moeglich. Viele Leute/Unternehmen wissen halt auch einfach nicht, wie X.509 und/oder TLS und/oder Public Key Cryptography funktionieren. Insofern beurteile ich nicht das, was daisho als die zu loesende Aufgabe formuliert hat, abstrakt-inhaltlich, sondern versuche, sie auf kurzem Wege zu loesen Und es gibt ja auch Unternehmen und Leute, die sich mit S/MIME gut, wohl und sicherer fuehlen, wo i. W. nichts Anderes als das hier gewuenschte passiert.

Eine Woche später und ich bin nicht wirklich schlauer.
Also was ihr hier geschrieben habt stimmt/passt natürlich alles. Mein Problem ist ja nicht die technische Grundlage, sondern das alle unfähig sind und mir nicht sagen können was ich genau bestellen muss.

Es gibt halt nur eine kleine Liste an CAs die derzeit "vertrauenswürdig" sind.
DigiCert/QuoVadis, GlobalSign, eine CA die es nicht mehr gibt, SwissSign und Kunden-interne ()

1) Support der CI/CD-Plattform: "Wir geben keine Empfehlungen", Knowledge-Base Artikel schreibt nur von belanglosem Zeug wie "EV ist empfohlen, 2048bit oder höher" - who cares

2) Projektteam beim Kunden meinte: Vermutlich "Organisations SSL Zert"
2a) GlobalSign DE war useless in ihren Antworten (fragen sie nach was das richtige Cert ist und dann bestellens bei uns > lol danke)
2a) QuoVadis DE Seite funktioniert gar nicht (kein Kaufen möglich, nur "Kontakt" und das dahinter liegende System ist kaputt - man kann also auch nicht mehr kontaktieren
2b) DigiCert hab ich jetzt ein sündhaft teures "Basic OV" (264€ im Jahr ohne Steuer, natürlich mal auf mein Konto für Spesenabrechnung weil ich es ja selber machen muss) TLS Cert bestellt um jetzt draufzukommen dass ich erst recht eine Domain eingeben muss und keinen freien Namen als Common Name weil es ja sonst nicht verifiziert werden kann

2c) Dazu kommt jetzt noch dass ich im Endeffekt nichtmal weiß was da bei DigiCert dann am Ende rauskommt und wenn da nicht "Client Authentication" drin steht (oder ist das bei übliche TLS Server Certs immer mit dabei?) vermutlich fucked bin und auch nicht mehr stornieren kann.



Wie ich einen CSR erstelle mit allen notwendigen Daten ist simple mit einer kleinen OpenSSL Config/Command. Aber niemand sagt mir, welche Voraussetzungen gibt es für das "SoftPSE/Client-Cert" (keyUsages? Welche Kombination ist korrekt damit OpenSSL am Ende nicht bei der Verifizierung schreit) und wie bekomme ich das bei einer Public CA auf deren bescheidenen Webseiten mit nicht vorhandenem Support.

P.S.: CA Support: Natürlich in Englisch (don't care, aber vermutlich der 0815 Inder) obwohl ich auf einer deutschen Seite bin.
Support: Rede mit Sales
Sales: Du kannst ein SSL Cert kaufen (mit vermutlich fragendem Blick "wtf will er von mir?")

Sorry für den langen Post, ich bin einfach grad haß weil ich knappe 300€ für einen simplen OpenSSL Befehl zahle und dann noch nicht mal weiß ob das dann auch passt. Self-Signed könnte ich ja sogar jederzeit das Cert neu machen/ändern falls was nicht passt, aber ich bin ja nicht "trusted"

Es wird jetzt einfach ein E-mail Zertifikat wie es aussieht.
Ich habe jetzt mal vom Projektteam beim Kunden die Info bekommen dass andere Certs wie folgt aussehen:

Externe (wie von uns gebraucht) z.B.:

Code:

            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Client Authentication, E-mail Protection

Interne (von der Kunden-interne CA ausgestellt, das haben wir bereits gemacht) z.B.:

Code:

            X509v3 Key Usage:
                Digital Signature, Key Encipherment
          X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication

Denke daher die einzige notwendige (extended) Key Usage ist hier Client Authentication.
Das untere sieht wie ein 0815 WebServer Zertifikat aus, wenn ich so eines bei einem Issuer bestelle müsste ich aber eine Domain eintragen für die Überprüfung > macht keinen Sinn. Daher einfach ein E-mail Cert.

GlobalSign hat mir geschrieben für ein Firmenweites Zertifikat bräuchte ich allerdings zuerst eine Enterprise PKI License.
Ich hoffe mal nicht und ist ja auch überhaupt nicht notwendig - ich will ja einfach nur ein simples Zertifikat ausstellen wo im CN irgendein Schmarrn ala "That is us" drin steht. E-mail Validation geht dann ja vermutlich eh einfach darüber dass sie uns eine Mail schicken und wir auf den "wir sinds" Link drauf klicken vermute ich mal ...