d_g*_*eks 7 ssl certificate pki digital-certificate x509certificate
迄今为止最长的证书链的长度是多少?
我想知道该链中证书颁发机构的数量,而不是证书链的大小。
没有定义这样的限制。但是,您应该创建尽可能短的链。实际上,不超过 3 个 CA 级别(其中第 4 级是叶端实体证书)。
这是因为应用程序(它是非常特定于应用程序的)可能会对链大小(以字节为单位)施加限制。更重要的是,长链构建和验证可能会导致链接引擎超时。例如,在Windows操作系统中,链构建和验证超时为15秒。如果您有长链,即使最终链有效,您也可以轻松达到此值并获得证书信任错误。
值得一提的是,长链条会增加行政和管理开销。根据您的需求,我建议使用 2 层或 3 层层次结构。
Eug*_*its -2
不幸的是,这样的问题没有多大意义,因为你可以根据需要构建任意长的链。一些 CA 颁发多个“级别”的 CA 证书,通常具有非常不同的颁发者名称,因此您不能总是说这是同一个 CA(尽管确实如此)。