遵循指南here和here我正在设置多级PKI。我已经将pathlen配置增加到3,这样我就可以生成一个根证书,我可以使用它来签署第一个中间件并安全存储。第一个中间体将存储在配置工作站上,用于生成第二个中间体,用于生成实际用于远程集群内通信的最终证书。
在试验这个时,我发现如果我减少用于生成CA的pathlen值,甚至减少到0,那么在这样的命令中:
openssl verify -CAfile <root ca> -untrusted <chain of intermediates> \
<cert to verify>
证书仍然可以验证为OK。我原本期望CA的最大路径长度使该证书无效,这是错误的吗?