我在 Linux 中使用“xca”来设置私有 CA。xca 仅包括根 CA 和最终用户 CA 的模板,没有中间体。中间(在这种情况下是最低级别)级别的证书颁发机构的正确设置(字段和标志)是什么,以将其与根和最终用户证书区分开来。我知道根是自签名的,中间是由根签名的,但我不确定除此之外的中间 CA 设置。具体来说,我不是在问软件设置,而是在问根证书和中间证书之间的区别。
正确设置生成私有中间 CA
信息安全
证书
公钥基础设施
证书颁发机构
x.509
2021-08-20 06:15:22
2个回答
根 CA 和中间 CA 之间的唯一区别是根根据定义是自签名的。
根或中间 CA 与最终(用户)证书之间的区别在于,前两个包含 x509证书签名扩展,而最后一个不包含。
所以这只是一个自签名与否以及证书签名扩展存在的问题。
不确定这是否回答了这个问题。但类似于我在这里给出的答案: 浏览器如何区分中间证书和最终实体证书?
基本约束->主题类型:
- 根证书:“CA”
- 最终实体证书:“最终实体”
基本约束->路径长度约束:
- 根证书:0
- 最终实体证书:无
主题类型指定它是什么类型的证书(CA 与最终实体),路径长度约束指定链中可以存在多少个中间证书。
通过将路径长度设置为 0,您指定在根和最终实体之间可以有 0 个中间证书。有效地禁用任何中间证书。