ACME-Server-ADCS icon indicating copy to clipboard operation
ACME-Server-ADCS copied to clipboard
verified publisher icon glatzert

MalformedRequestException (BadRequest)

Open realdave213 opened this issue 1 year ago • 1 comments

Moin,

wir möchten testen, ob wir diese Software in unserem Unternehmen für das Ausstellen von Benutzerzertifikaten für Mac-User (verwaltet über Jamf) nutzen können. Hierzu wird diese Schnittstelle von Apple verwendet: https://support.apple.com/de-de/guide/deployment/depb95c66a07/web

Wir haben im Jamf Configuration Profile im Reiter "ACME Certificate" die folgenden Einstellungen konfiguriert:

  • ACME directory URL: https://example.net
  • Client identifier: $COMPUTERNAME (wird in den Computernamen des Macs übersetzt)
  • Key Size: 256
  • Key Type: ECSECPrimeRandom
  • Hardware Bound: False
  • Subject: /CN=EMAIL
  • RFC 822 Name: $EMAIL
  • NT Principal Name: $EMAIL
  • Key Is Extractable: False

Wir erhalten die folgende Fehlermeldung im Log: {"@t":"2024-08-16T09:24:25.8997144Z","@m":"Detected TGIT.ACME.Protocol.Model.Exceptions.MalformedRequestException. Converting to BadRequest.","@i":"c288af6a","@l":"Debug","SourceContext":"TGIT.ACME.Server.Filters.AcmeExceptionFilter","ActionId":"a9423451-b254-4617-861c-94d72e7adaeb","ActionName":"TGIT.ACME.Server.Controllers.OrderController.CreateOrder (TGIT.ACME.Server.Core)","RequestId":"4000000b-0001-f900-b63f-84710c7967bb","RequestPath":"/new-order"}

realdave213 avatar Aug 16 '24 09:08 realdave213

Gude,

die Schnittstelle von Apple nutzt AFAIK das bisher nicht endgültig in einen Standard gegossene "device-attest-01" (https://www.ietf.org/archive/id/draft-acme-device-attest-02.html) Die IANA listet das bisher nicht als "offizielle" Methoden für einen ACME Server und auch die beiden Identifier (permament-identifier und hardware-module) sind bisher nicht in den offiziellen Standards hinterlegt.

Ich kann mir vorstellen eine passende Erweiterung zu bauen und diese zur Verfügung zu stellen, mir fehlt dazu aber die Umgebung, um das mindestens "durchzuspielen" und die Funktion eines solchen Moduls zu validieren.

Ich denke aber, das die Email als subjectAlternateName im Protokoll nicht zulässig ist, da in der Challenge die Kontrolle über das Hardware-Modul oder den "permanent-identifier" nachgewiesen wird - nicht aber über die Email-Adresse. Für letztere gäbe es den RFC8823 (https://www.rfc-editor.org/rfc/rfc8823.html).

glatzert avatar Aug 17 '24 21:08 glatzert

Eventuell abbildbar mit V3 / Email + Device weiterhin problematisch. Dennoch schließe ich das Issue, da die Entwicklung für den device-attest in einem anderen getrackt wird.

glatzert avatar Apr 30 '25 06:04 glatzert