x509v3 中 AuthorityInfoAccess 字段是必需的吗?我有一些证书,我正在尝试进行 OCSP 验证,但当我这样做时他们似乎没有这个字段
openssl x509 -in file.cer -inform DER -text -noout
我想知道它是否不在该输出中是否意味着它不存在?
这两种扩展都不是强制性的。所有这些在技术上都是可选的。但某些应用程序可能需要特定的扩展。
例如,对于 CA 证书,需要有Basic Constraints和KeyUsage扩展名。否则,该证书将不会被识别为 CA 证书。此外,在创建 X.509v3 证书时,最好Subject Key Identifier通过使用密钥匹配来简化链中的证书绑定。
有两种情况不应出现Authority Information Access( 和):在任何自签名证书和 OCSP 签名证书中。CRL Distribution Points
当您谈论 OCSP 证书时,此扩展没有实际需要,因为所有必需的信息都在其他地方。例如,如果目标证书及其 OCSP 响应由同一 CA 签名,则将重用现有目标证书链。如果 OCSP 使用委托 OCSP 签名证书,则委托证书的链将直接包含在 OCSP 响应中。
实际上,生成错误的证书也不包含Authority Information Access扩展名。
| 归档时间: |
|
| 查看次数: |
3637 次 |
| 最近记录: |