Mat*_*att 31 constraints certificate path
路径长度为0且无类似于CA类型的基本约束?为了澄清,路径长度为0表示CA是否可以不颁发证书,而路径长度为无意味着它可以颁发无限量的证书?
emb*_*oss 49
摘自RFC 5280,第4.2.1.9节:
pathLenConstraint为零表示在有效的证书路径中不会跟随非自发布的中间CA证书.在它出现的地方,pathLenConstraint字段必须大于或等于零.如果没有出现pathLenConstraint,则不会施加任何限制.
即pathLenConstraint,0仍然允许CA颁发证书,但这些证书必须是最终实体证书(BasicConstraints中的CA标志为false - 这些是颁发给人员或组织的"普通"证书).
它还意味着使用此证书,CA不得颁发中间CA证书(CA标志再次为真 - 这些证书可能会发出更多证书,从而增加pathLen1).
pathLenConstraint另一方面,缺席意味着考虑从最终实体证书构建的证书路径的长度没有限制,该证书路径将导致我们的示例CA证书.这意味着CA可以为子CA颁发中间证书,此子CA可以再次颁发中间证书,此子CA可以再次...直到最终一个子CA将颁发最终实体证书.
如果pathLenConstraint给定CA证书的大小> 0,则它表示从最终实体证书到CA证书构建的路径中可能的中间CA证书的数量.假设CA X的a pathLenConstraint为2,则向EE发出终端实体证书.然后以下方案有效(我表示中间CA证书)
X - EE
X - I1 - EE
X - I1 - I2 - EE
但是这和那些具有更多中间CA的场景不是
X - I1 - I2 - I3 - EE
...