Question

x509v3中的AuthorityInfoAccess字段是否必填字段？我有一些证书，我正在尝试进行OCSP验证，但是当我这样做时它们似乎没有这个字段

openssl x509 -in file.cer -inform DER -text -noout

我想知道它是否不是那个输出意味着它不在那里？

Answer 1

这两个扩展都不是强制性的。它们在技术上都是可选的。但是某些应用程序可能需要特定扩展名。

例如，对于CA证书，它必须具有Basic Constraints和KeyUsage扩展名。否则，证书将不会被识别为CA证书。此外，在创建X.509v3证书时，最好通过使用密钥匹配来包含Subject Key Identifier以简化链中的证书绑定。

有两种情况，Authority Information Access（和CRL Distribution Points）不应出现：在任何自签名证书和OCSP签名证书中。

当您谈论OCSP证书时，此扩展中没有实际需要，因为所有必需的信息都在其他地方。例如，如果目标证书及其OCSP响应由同一CA签名，则重用现有目标证书链。如果OCSP使用委托的OCSP签名证书，则委托证书的链直接包含在OCSP响应中。

在实践中，生成错误的证书也不包含Authority Information Access扩展名。