x509v3 权限信息访问
x509v3 Authority Info Access
AuthorityInfoAccess 字段在 x509v3 中是强制性的吗?我有一些证书,正在尝试做OCSP验证,但是我做的时候他们好像没有这个字段
openssl x509 -in file.cer -inform DER -text -noout
我想知道如果它不在那个输出中是否意味着它不存在?
两个扩展都不是强制性的。它们在技术上都是可选的。但是某些应用程序可能需要特定的扩展。
例如,对于 CA 证书,它需要具有 Basic Constraints 和 KeyUsage 扩展名。否则,该证书将不会被识别为 CA 证书。
此外,在创建 X.509v3 证书时,最好包含 Subject Key Identifier 以使用密钥匹配简化链中的证书绑定。
有两种情况 Authority Information Access(和 CRL Distribution Points)不应出现:在任何自签名证书和 OCSP 签名证书中。
正如您所说的 OCSP 证书,这个扩展没有实际需要,因为所有需要的信息都在别处。例如,如果目标证书及其 OCSP 响应由同一个 CA 签名,则会重复使用现有目标证书的链。如果 OCSP 使用委托 OCSP 签名证书,则委托证书的链直接包含在 OCSP 响应中。
实际上,生成错误的证书也不包含 Authority Information Access 扩展名。
AuthorityInfoAccess 字段在 x509v3 中是强制性的吗?我有一些证书,正在尝试做OCSP验证,但是我做的时候他们好像没有这个字段
openssl x509 -in file.cer -inform DER -text -noout
我想知道如果它不在那个输出中是否意味着它不存在?
两个扩展都不是强制性的。它们在技术上都是可选的。但是某些应用程序可能需要特定的扩展。
例如,对于 CA 证书,它需要具有 Basic Constraints 和 KeyUsage 扩展名。否则,该证书将不会被识别为 CA 证书。
此外,在创建 X.509v3 证书时,最好包含 Subject Key Identifier 以使用密钥匹配简化链中的证书绑定。
有两种情况 Authority Information Access(和 CRL Distribution Points)不应出现:在任何自签名证书和 OCSP 签名证书中。
正如您所说的 OCSP 证书,这个扩展没有实际需要,因为所有需要的信息都在别处。例如,如果目标证书及其 OCSP 响应由同一个 CA 签名,则会重复使用现有目标证书的链。如果 OCSP 使用委托 OCSP 签名证书,则委托证书的链直接包含在 OCSP 响应中。
实际上,生成错误的证书也不包含 Authority Information Access 扩展名。