Czy długość ścieżki 0 i Brak jest taka sama dla podstawowych ograniczeń typu CA? W celu wyjaśnienia, czy długość ścieżki wynosząca 0 oznacza, że urząd certyfikacji nie może wydać żadnych certyfikatów, podczas gdy długość ścieżki nie oznacza, że może wystawiać nieskończoną liczbę certyfikatów?Certyfikaty Długość podstawowego ograniczenia więzów
Odpowiedz
Zrobione z RFC 5280, sekcja 4.2.1.9:
pathLenConstraint od zera oznacza, że nie ma non-self-wydane certyfikaty CA pośrednie mogą następować w ważnej ścieżki certyfikacji. Gdzie się pojawi, pole pathLenConstraint MUSI być większe lub równe zero. Tam, gdzie ścieżkaLenConstraint się nie pojawia, nie jest nakładany żaden limit.
tj. pathLenConstraint
z 0 nadal pozwala CA wydawać certyfikaty, ale te certyfikaty muszą być certyfikatami jednostek końcowych (flaga CA w BasicConstraints jest fałszywa - są to "normalne" certyfikaty wydawane osobom lub organizacjom).
Oznacza to również, że za pomocą tego certyfikatu urząd certyfikacji nie może wydawać pośrednich certyfikatów urzędu certyfikacji (w przypadku gdy flaga urzędu certyfikacji jest znowu prawdziwa - są to certyfikaty, które mogą potencjalnie wystawiać kolejne certyfikaty, zwiększając tym samym liczbę 12,).
Z drugiej strony brak numeru pathLenConstraint
oznacza, że nie ma ograniczeń, biorąc pod uwagę długość ścieżek certyfikatów zbudowanych na certyfikacie jednostki końcowej, która prowadziłaby do naszego przykładowego certyfikatu CA. Oznacza to, że urząd certyfikacji może wydać certyfikat pośredni dla podrzędnego urzędu certyfikacji, ten podrzędny urząd certyfikacji może ponownie wystawić certyfikat pośredni, ten podrzędny urząd certyfikacji może ponownie ... aż w końcu jeden podrzędny urząd certyfikacji wyda certyfikat podmiotu końcowego.
Jeśli pathLenConstraint
danego certyfikatu urzędu certyfikacji ma wartość> 0, wówczas wyraża liczbę możliwych pośrednich certyfikatów CA w ścieżce zbudowanej na certyfikacie jednostki końcowej aż do certyfikatu urzędu certyfikacji. Powiedzmy, że CA X ma pathLenConstraint
z 2, certyfikat jednostki końcowej jest wystawiony na EE. Wtedy następujące scenariusze są ważne (I oznaczający pośredni certyfikat CA)
X - EE
X - I1 - EE
X - I1 - I2 - EE
ale to i te scenariusze z jeszcze bardziej pośredniej urzędów nie są
X - I1 - I2 - I3 - EE
...
- 1. Jak zmienić nazwę ograniczenia klucza podstawowego w SQL Server
- 2. JPA - definiowanie unikalnych więzów wielokolumnowych
- 3. więzów rodzaje: przekazać wiele ograniczeń
- 4. własnym więzów wiele do wielu kolby-SQLAlchemy
- 5. Konwersja więzów bazy danych na sprawdzanie poprawności w Railsach
- 6. Powiązane certyfikaty klienta
- 7. Certyfikaty WebView i SSL
- 8. certyfikaty ssl kontenera kontenera
- 9. WCF, zabezpieczenia i certyfikaty
- 10. Wymieszaj certyfikaty SSL
- 11. Certyfikaty SSL CNAME
- 12. Używanie typów więzów i rodzin typów z ograniczeniami "ograniczonymi"
- 13. Bezpłatne certyfikaty programistyczne dla Symbian?
- 14. Certyfikaty X.509 na WCF?
- 15. Certyfikaty SSL/TLS dla Lightsail?
- 16. Certyfikaty klienta HTTPS z Monotouch
- 17. Kod EF 6 Po pierwsze, zmiana identyfikatora klucza obcego z właściwością Włącz na nawigacji powoduje "Naruszenie ograniczenia więzów integralności" Błąd
- 18. Spring 3.1 Autowiring nie działa w niestandardowym kontrolerze więzów
- 19. Jak wyłączyć sprawdzanie więzów (typ certyfikatu Netscape) w Java6?
- 20. Długość danych a długość CRC
- 21. Długość klucza podstawowego dla typu danych długich w Javie (i hibernacji)?
- 22. Przykładowe ograniczenia dotyczące przesyłania danych ECLiPSe
- 23. Dodaj kolumnę klucza podstawowego w tabeli SQL
- 24. ConvertFrom-Json maksymalna długość
- 25. zmiennoprzecinkowej Ograniczenia
- 26. ograniczające ograniczenia
- 27. Ograniczenia ElasticSearch
- 28. Derby - ograniczenia
- 29. Ograniczenie sprawdzania poprawności Symfony2 "Symfony \ Komponent \ Walidator \ Ograniczenia \ Maks. Długość" nie znaleziono
- 30. Mysql - Dodaj auto_increment do klucza podstawowego
Więc jak można powiedzieć, że zaświadczenie może wystawić Nie certyfikaty? – Rory
@Rory, robisz to, upewniając się, że certyfikat NIE jest certyfikatem urzędu certyfikacji (tj. Ustawiaj atrybut cA na wartość false i upewnij się, że bit keyCertSign w rozszerzeniu użycia klucza NIE jest podany). – Hmmmmm
Czy pośrednie certyfikaty I1, I2 itd. Mogą zdefiniować własną ścieżkęLenConstraint? –