Есть ли зарезервированное пространство OID для внутренних ЦС предприятия?

Question

Есть ли зарезервированное пространство OID для внутренних ЦС предприятия?

При подготовке PKI для внутреннего использования, существует ли личное пространство OID, которое можно использовать без необходимости оплачивать и / или регистрировать свой собственный диапазон OID? Подумайте, адреса RFC1918 для диапазонов OID.

16

pki oid

Источник

MDMarra 07 ноя '13 в 20:16

3 ответа

Другие вопросы по тегам pki oid

MikeyB 07 ноя '13 в 20:24 2013-11-07 20:24 · Answer 1 · 2013-11-07 20:24

Вы можете зарегистрировать частное предприятие, и тогда OID будет выделен для вашего использования по вашему усмотрению. Там нет платы.

Это будет под iso.org.dod.internet.private.enterprise (1.3.6.1.4.1).

Например, моя компания может использовать: 1.3.6.1.4.1.17992 для любых внутренних и опубликованных приложений, которые мы разрабатываем.

Как указывает voretaq7, вам необходимо внутренне организовать и отслеживать, как вы структурируете свою информацию в соответствии с назначенным вам узлом. Но это твоя проблема.:)

Обратите внимание, что в то время как страница регистрации говорит:

обычно используется в конфигурациях информационной базы управления протоколами Simple Network Management

это только потому, что SNMP является наиболее распространенным использованием. Они для общего пользования.

Cédric Dufour 11 июл '17 в 09:56 2017-07-11 09:56 · Answer 2 · 2017-07-11 09:56

Я не эксперт, но кажется, что OID с 1.3.9900 по 1.3.9999 можно считать такими OID "внутреннего использования":

Согласно http://oid-info.com/get/1.3:

Партнеры по обмену могут по предварительному соглашению обмениваться идентификаторами организации, назначенными схемой идентификации, которой назначено значение ICD или для которой ожидается присвоение значения ICD. Диапазон значений ICD между 9900 и 9999 зарезервирован для этого эффекта. Партнеры по обмену должны договориться об идентификации схемы идентификации, используя одно из вышеуказанных зарезервированных значений.

Публичный отчет о функциональной совместимости от Международной группы пользователей УЦА ("некоммерческая корпорация, ориентированная на оказание помощи пользователям и поставщикам в развертывании стандартов [...]"), похоже, подтверждает это (стр. 7-15, выпуск 39).:

[...] В случае с 1.1.999.xy ясно, что это была попытка указать частный OID. Подходящими значениями для этого являются 1.3.9999.xx.yy.

exore 20 мар '21 в 06:52 2021-03-20 06:52 · Answer 3 · 2021-03-20 06:52

Вопрос старый, но все же есть пара решений, о которых не упоминается.

2.25.x самогенерируемый юридический OID

Цитирование oid info 2.25

Это позволяет пользователям генерировать OID без их регистрации в органе регистрации.

вы можете легко создать свой собственный oid под версией 2.25, например, с помощью этого Python Oneliner:
```
        python -c 'import uuid; print(uuid.uuid4().int)'
```
1.1.x захватывает заброшенную дугу OID.

из oid info 1.1,

Джон Лармут, докладчик по стандарту ASN.1, написал 27 января 2003 г.: «Дополнение так и не было подготовлено. Намерение состояло в том, чтобы создать такой регистрирующий орган, но этого так и не произошло, главным образом потому, что под его управлением было достаточно регистрационных органов. другие дуги».

Однако будьте осторожны. Эта дуга заброшена и к ней никогда ничего не будет добавлено, но есть несколько зарегистрированных OID . Я не знаю, эффективно ли когда-либо использовались эти OID, но на всякий случай выберите неиспользуемый.
1.3.6.1.3.x Используйте экспериментальный OID, не предназначенный для публикации.

Ни один опубликованный стандарт никогда не будет использовать эту дугу, поэтому нет риска конфликта OID. Цитируем раздел 3.1 RFC 4520.

Чтобы избежать проблем совместимости между ранними реализациями «незавершенной работы» и реализациями опубликованной спецификации (например, RFC), экспериментальные OID СЛЕДУЕТ использовать в «незавершенной работе» и ранних реализациях. Для этой цели можно использовать OID в зоне экспериментальных OID Интернета (1.3.6.1.3.x). Практика присвоения IANA этих экспериментальных номеров Интернета подробно описана в RFC [ 2578RFC2578 ].
x, x > 2 — трюк, который мне нравится.

Если вы посмотрите на дерево OID, то заметите, что в корне используются только 3 числа.
- 0 ITU-T
- 1 изо
- 2 псевдонима Joint-iso-itu-t
А что потом ? Ничего... Так что используйте 3, 4, 42, 17890714, что хотите. Их никто никогда не использовал и не будет. Все происходит внутри дуг 0, 1 и 2.

Изменение, сентябрь 2022 г.:
некоторые реализации, похоже, налагают ограничения на первые два числа. Openldap, который я использовал для тестирования, не имеет никаких ограничений, и вы можете использовать любое значение, какое захотите. Как утверждает @SamGinrich в своем комментарии, существуют продукты Microsoft, которые ограничивают значение, которое вы можете использовать. Это подтверждается ссылками, которые он дает about-object-identifier . Администраторы могут использовать только 4, 5 или 6 (а второе число ограничено 39). Даже в этом случае остается достаточно места для частного OID. Просто используйте 4.1.

Есть также решения, упомянутые другими

1.3.9900 - 1.3.9999

как это частный диапазон. Изначально он предназначался для обмена данными, но по-прежнему является зарезервированным диапазоном, поэтому с ним тоже все будет в порядке.
зарегистрированный OID. хотя вам и не нужна регистрация, это все равно следует учитывать, поскольку это бесплатно и легко.

указал Седрик Дюфур,См. ответ MikeyB . Вы можете зарегистрировать oid . Это бесплатно.