路径长度为0且无类似于CA类型的基本约束?为了澄清,路径长度为0表示CA是否可以不颁发证书,而路径长度为无意味着它可以颁发无限量的证书?
答案 0 :(得分:46)
取自RFC 5280,第4.2.1.9节:
pathLenConstraint为零表示在有效的证书路径中不会跟随非自行颁发的中间CA证书。在它出现的地方,pathLenConstraint字段必须大于或等于零。如果没有出现pathLenConstraint,则不会施加任何限制。
即。 pathLenConstraint为0仍然允许CA颁发证书,但这些证书必须是最终实体证书(BasicConstraints中的CA标志为false - 这些是颁发给人员或组织的“正常”证书)。
它还意味着使用此证书,CA不得颁发中间CA证书(CA标志再次为真 - 这些证书可能会发出更多证书,从而将pathLen增加1)。
另一方面,缺席pathLenConstraint意味着考虑从最终实体证书构建的证书路径的长度没有限制,该证书路径将导致我们的示例CA证书。这意味着CA可以为子CA颁发中间证书,此子CA可以再次颁发中间证书,此子CA可以再次...直到最终一个子CA将颁发最终实体证书。
如果给定CA证书的pathLenConstraint是> 0,然后它表示从最终实体证书到CA证书构建的路径中可能的中间CA证书的数量。假设CA X的pathLenConstraint为2,则向EE发出终端实体证书。然后,以下方案有效(我表示中间CA证书)
X - EE
X - I1 - EE
X - I1 - I2 - EE
但是这个和那些具有更多中间CA的场景不是
X - I1 - I2 - I3 - EE
...