Certificates
X509 CertificatePolicies、IssuerAlternativeNames、BasicConstraints 擴展。發行人簽名時會做什麼?
我有一個與 X509 證書擴展相關的理論問題。更準確地說,我對頒發者簽署具有多個副檔名的主題證書時會發生什麼有疑問,特別是我對三個副檔名、證書策略、頒發者替代名稱和基本約束感興趣。
簽發證書時,頒發者備用名稱擴展是否填充了頒發者的主題備用名稱擴展?
頒發者完成簽名後,證書策略擴展是否保持不變?
編輯:我只給出了一個應用程序介面,我應該在其中實現它背後的邏輯。所以我得到了擴展欄位,我只能在生成初始自簽名證書時填寫這些欄位。基本約束帶有“關鍵”複選框、“是 CA”複選框和“路徑長度”整數欄位。因此,當我在生成自簽名時填充這些數據時,以及當頒發者之後簽署我以前的證書時,我感到困惑,這個擴展發生了什麼。
證書策略通常由 CA 設置。它不是證書請求中存在的東西(如果您將其包含在內,您的請求可能會被拒絕或包含的策略被忽略)。
是的,頒發者替代名稱通常與父證書的主題替代名稱相同。但由於擴展不是關鍵的,也沒有明確提及證書路徑驗證,我認為沒有理由驗證它是關鍵的。
您實際上忘記告訴我們這是針對您想要簽名的自簽名證書。
這不是您通常會做的事情;通常,您會生成一個新的密鑰對和證書請求並使用它。重複使用密鑰對是可能的,但通常不應執行。在不使先前設置的包含此數據元素的簽名無效的情況下,不可能更改證書的頒發者。
至於基本約束的重要性:如果您為自簽名葉證書而不是根 CA 證書設置約束,我會將“關鍵”設置為 true(現在任何東西都會解析這兩個約束),“是 CA " 為假,最後路徑長度約束簡單地為 0。
如果您確實將您的自簽名證書發送到 CA 並且它會處理您的證書,那麼它可能會簡單地忽略設置的值。