如何允许/限制证书颁发另一个证书?

【问题标题】:How to allow/restrict a certificate to issue another certificate?如何允许/限制证书颁发另一个证书?
【发布时间】:2021-08-25 06:39:53
【问题描述】:

如何制作不能签署其他证书的叶子证书? ica 是否有任何定义它可以颁发其他证书的内容?
想知道是否可以提供使用 openssl 的示例。

【问题讨论】:

  • “如何制作不能签署其他证书的叶证书?” - 这正是叶证书不能签署其他证书的关键所在。否则它就不是叶子证书。但是您要查找的证书属性是 Basic Constraints CA:false。

标签: ssl openssl certificate


【解决方案1】:

正如@Steffen 在 cmets 中提到的,当 CA 具有 v3 扩展 basicConstraints=CA:true 时,它可以颁发证书。即使没有它,根 CA 也可以工作,因为颁发者与主题相同,这隐含着它的 CA。

来自文档:

基本约束。
这是一个多值扩展,指示证书是否 是 CA 证书。第一个(强制)名称是 CA,后跟 TRUE 或假。如果 CA 为 TRUE,则可选的 pathlen 名称后跟 可以包含非负值。

为确保仅在链下颁发一定数量的证书,使用了另一个扩展:pathlen:1

来自文档:

pathlen参数表示最大CA数量 出现在这个链条的下方。所以如果你有一个带有 pathlen 的 CA 为零,它只能用于签署最终用户证书,而不是 更多的 CA。

在 openssl 文档here 中可以找到其他有用的扩展。

【讨论】:

    猜你喜欢
    • 2013-07-26
    • 2018-06-19
    • 1970-01-01
    • 2021-04-13
    • 1970-01-01
    • 2012-04-18
    • 2020-10-30
    • 2012-10-31
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode