web-dev-qa-db-fra.com

Durée du chemin de la contrainte de base des certificats

A une longueur de chemin de 0 et aucune chose la même chose pour la contrainte de base d'un type de ca? Pour clarifier, une longueur de trajet de 0 signifie-t-elle que l'autorité de certification ne peut émettre aucun certificat alors qu'une longueur de trajet de personne ne signifie-t-elle pas de délivrer une quantité infinie de certificats?

30
Matt

Pris de - RFC 528 , section 4.2.1.9:

Un pathlenconstraint de zéro indique qu'aucun certificat de CA intermédiaire non émis ne peut suivre dans un chemin de certification valide. Où il apparaît, le champ PathlenConstraint doit être supérieur ou égal à zéro. Lorsque PathlenConstraint ne semble pas, aucune limite n'est imposée.

C'est à dire. Un pathLenConstraint de 0 autorise toujours l'autorité de certification à émettre des certificats, mais ces certificats doivent être des certificats d'entité finale (le drapeau CA de basicconstraints est faux - ce sont les certificats "normaux" qui sont délivrés aux personnes ou à organisations).

Cela implique également que, avec ce certificat, l'autorité de certification ne doit pas émettre des certificats d'autorité de certification intermédiaire (où le drapeau de l'autorité de certification est de nouveau vrai - ce sont des certificats qui pourraient potentiellement émettre des certificats supplémentaires, augmentant ainsi le pathLen de 1).

Un absent pathLenConstraint d'autre part signifie qu'il n'y a pas de limitation compte tenu de la longueur des chemins de certificats construits à partir d'un certificat d'entité finale qui conduirait à notre exemple certificat CA. Cela implique que la CA pourrait émettre un certificat intermédiaire pour une sous-CA, cette sous-CA pourrait à nouveau émettre un certificat intermédiaire, cette sous-CA pourrait à nouveau ... jusqu'à ce que finalement un sous-caimerait un certificat d'entité finale.

Si la pathLenConstraint d'un certificat CA donné est> 0, il exprime le nombre de certificats de CA intermédiaires possibles dans un chemin construit à partir d'un certificat d'entité finale jusqu'au certificat CA. Disons que Ca X a un pathLenConstraint de 2, le certificat d'entité finale est délivré à l'EE. Ensuite, les scénarios suivants sont valides (je désigne un certificat d'autorité de certification intermédiaire)

X - EE
X - I1 - EE
X - I1 - I2 - EE

mais cela et ces scénarios avec des CAS encore plus intermédiaires ne sont pas

X - I1 - I2 - I3 - EE
...
47
emboss