如果我使用 openssl 创建一个 CSR 并将到期日设置为 5 年,签署 CA 是否有可能将到期日设置为一年?哪个优先?
编辑:好的,我认为 StackOverflow 帖子的答案回答了这个问题
我一直试图弄清楚如何在 CSR 中请求特定的有效期,据我所知,CSR 根本不包含该信息。CSR 的结构在 PKCS#10 / RFC2986 中定义,它没有专门用于请求有效期的字段。可以放入 CSR 的属性和扩展在 PKCS#9 中列出,其中没有关于有效期的内容。最后,我可以在生成的 CSR 上执行 openssl asn1parse 并发现无论我传递给 openssl req 什么,都没有包含与有效期相关的信息”
正确的。相关标准是RFC5280中的 X.509 规范:
4.1.2.5。有效性
证书有效期是 CA 保证将维护有关证书状态的信息的时间间隔。
基本上,作为证书请求者,您对证书的有效期绝对没有发言权,这是 100% 由 CA 自行决定的。
要了解为什么这样做有意义,请考虑 X.509 的其他用途:企业环境中的 S/MIME 电子邮件证书。显然,您的公司系统管理员可以选择您更新密钥的频率,而不是最终用户。
这种理念适用于 Web TLS 证书,因为 CA 有责任不颁发在更长时间内有效的证书,以破解它们(想象有人为 RSA-1024 密钥申请 10 年证书)。此责任部分由CA/浏览器论坛管理。例如,请参阅此 CA/B 要求:
- 基线要求有哪些内容?
2012 年 7 月 1 日之后签发的证书有效期不得超过 60 个月,2015 年 4 月 1 日之后签发的证书有效期不得超过 39 个月。
实际上,每个 CA 对其颁发的所有证书都有固定的有效期,尽管一些 CA 会以更高的价格颁发更长的证书。