在PKIX documentation中提及:
1)证明代表的证书 TrustAnchor不应包括在内 认证路径
我的问题是,这种限制来自哪里?在RFC 5280我发现:
2)证书不得出现更多 未来一次 认证路径。
RFC中的语句(2)是否以某种方式暗示语句(1)?因为我看不到它。
通过在路径中使用信任锚也会产生什么问题? 最后,TA证书可以自行验证。
有人可以解释一下吗?
答案 0 :(得分:3)
这更像是一个定义的东西,IIUC。 RFC 5280中定义了有效的证书路径,其中一个条件是其第一个证书由信任锚签名(并且证书的issuerName与该信任锚的名称匹配)。 (信任锚不一定是证书。)