Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

B.2. 约束参考

限制用于定义证书的允许内容以及与该内容关联的值。本节列出了预定义的约束,并包含每个的完整定义。

B.2.1. 基本约束扩展约束
复制链接

Basic Constraints 扩展约束会检查证书请求中的基本约束是否满足这个约束中设置的条件。

Expand
表 B.25. 基本约束扩展约束配置参数
参数描述

basicConstraintsCritical

指定扩展是否可以标记为 critical 或 noncritical。选择 true 以标记此扩展关键;选择 false 以防止此扩展标记为 critical。选择一个连字符,代表没有关键首选项。

basicConstraintsIsCA

指定证书主题是否为 CA。对于此参数,选择 true 以需要 true 值(是 CA),选择 false 来禁止此参数的 true 值;选择连字符,- 表示没有为此参数放置限制。

basicConstraintsMinPathLen

指定发布从属 CA 证书的最小允许路径长度、可链接的最大 CA 证书数(从属 CA 证书)。路径长度会影响证书验证过程中使用的 CA 证书数量。链从验证和移动的最终证书开始。

如果在最终用户证书中设置扩展,则此参数无效。

允许的值是 0n。该值必须小于 CA 签名证书的基本约束扩展中指定的路径长度。

0 指定在签发的从属 CA 证书下面不允许有从属的 CA 证书;在路径中只能遵循最终用户证书。

n 必须是大于零的整数。这是在使用的下级 CA 证书下允许的最少的子 CA 证书数量。

basicConstraintsMaxPathLen

指定发布从属 CA 证书的最大允许路径长度、可链接的最大 CA 证书数(从属 CA 证书)。路径长度会影响证书验证过程中使用的 CA 证书数量。链从验证和移动的最终证书开始。

如果在最终用户证书中设置扩展,则此参数无效。

允许的值是 0n。该值必须大于 CA 签名证书的基本约束扩展中指定的路径长度。

0 指定在签发的从属 CA 证书下面不允许有从属的 CA 证书;在路径中只能遵循最终用户证书。

n 必须是大于零的整数。这是在使用的从属 CA 证书下面允许的最大从属 CA 证书数。

如果字段为空,则路径长度默认为由签发者证书中基本约束扩展上设置的路径长度的值。如果签发者的路径长度为无限,则从属 CA 证书中的路径长度也没有限制。如果签发者的路径长度大于零,则从属 CA 证书中的路径长度被设置为小于签发者路径长度的值;例如,如果签发者的路径长度为 4,则下级 CA 证书中的路径长度被设置为 3。

B.2.2. CA Validity 约束
复制链接

CA Validity 约束检查证书模板中的有效期周期是否在 CA 的有效周期内。如果证书的有效期超过 CA 证书的有效性周期,则约束将被拒绝。

B.2.3. 扩展的密钥用法扩展约束
复制链接

Extended Key Usage 扩展约束检查证书上的扩展 Key Usage 扩展是否满足这个约束中设置的条件。

Expand
表 B.26. 扩展的密钥用法扩展约束配置参数
参数描述

exKeyUsageCritical

当设置为 true 时,扩展可以被标记为 critical。当设置为 false 时,扩展可以被标记为非关键。

exKeyUsageOIDs

指定标识键使用目的的允许 OID。可以在逗号分隔列表中添加多个 OID。

B.2.4. 扩展约束
复制链接

这个约束实现了常规扩展约束。它将检查是否存在扩展。

Expand
表 B.27. 扩展约束
参数描述

extCritical

指定扩展是否可以标记为 critical 或 noncritical。选择 true 以标记扩展关键;选择 false 以将其标记为非关键。选择 - 不优先选择。

extOID

证书中必须存在的扩展 OID 才能传递约束。

B.2.5. 键约束
复制链接

此约束检查 RSA 密钥的密钥大小,以及 EC 密钥的 elliptic curve 的名称。与 RSA 密钥一起使用时, KeyParameters 参数包含以逗号分隔的法律密钥大小列表,而 EC 键参数包含以逗号分隔的可用 ECC curves 列表。

Expand
表 B.28. 关键约束配置参数
参数描述

keyType

提供一个密钥类型;这默认设为 -,使用 RSA 密钥系统。选择是 rsa 和 ec。如果指定了密钥类型且没有被系统识别,则约束将被拒绝。

KeyParameters

定义特定的密钥参数。为键设置的参数有所不同,具体取决于 keyType 参数的值(根据键类型)。

* 使用 RSA 密钥,KeyParameters 参数包含以逗号分隔的法律密钥大小列表。* 使用 ECC 键,KeyParameters 参数包含以逗号分隔的可用 ECC curves 列表。

B.2.6. 关键用法扩展约束
复制链接

Key Usage 扩展约束检查证书请求中的键使用约束是否满足这个约束中设置的条件。

Expand
表 B.29. 关键用法扩展约束配置参数
参数描述

keyUsageCritical

选择 true 以标记此扩展关键;选择 false 以将其标记为非关键。选择 - 代表没有首选项。

keyUsageDigitalSignature

指定是否签署 SSL 客户端证书和 S/MIME 签名证书。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

kleyUsageNonRepudiation

指定是否设置 S/MIME 签名证书。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

.WARNING [WARNING] ==== 使用这个位是 controversial。在为任何证书设置使用前,请仔细考虑其使用的法律后果。=====

keyEncipherment

指定是否为 SSL 服务器证书和 S/MIME 加密证书设置扩展。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

keyUsageDataEncipherment

指定在主题的公钥用于加密用户数据而不是关键材料时设置扩展。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

keyUsageKeyAgreement

指定在主题的公钥用于密钥协议时是否设置扩展。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

keyUsageCertsign

指定扩展是否适用于所有 CA 签名证书。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

keyUsageCRLSign

指定是否为用来为 CRL 签名的 CA 签名证书设置扩展。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

keyUsageEncipherOnly

如果公钥仅用于加密数据,则指定是否设置扩展。如果设置了此位,则还应设置 keyUsageKeyAgreement。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

keyUsageDecipherOnly

如果公钥仅用于解码数据,则指定是否设置扩展。如果设置了此位,则还应设置 keyUsageKeyAgreement。选择 true 以将其标记为 set;选择 false 以保留此设置;选择一个连字符 -,以指示没有为此参数放置任何限制。

B.2.7. Netscape 证书类型扩展约束
复制链接

WARNING

这个约束已过时。使用 Key Usage 扩展或扩展 Key Usage 扩展扩展约束,而不是使用 Netscape 证书类型扩展。

Netscape 证书类型扩展约束检查证书请求中 Netscape 证书类型扩展是否满足此约束中设置的条件。

B.2.8. 没有约束
复制链接

这个约束没有实现任何约束。当选择与默认值时,该默认不会有限制。

B.2.9. 续订 Grace Period 约束
复制链接

当用户可以根据其过期日期续订证书时,续订 Grace Period Constraint 设置规则。例如,在证书过期前,用户无法续订证书,或者其超过过期日期后的某个时间。

使用此约束时要记住的一个重要事项是,此约束 在原始的注册配置集 上设置,而不是续订配置文件。续订宽限期的规则是原始证书的一部分,并负责后续续订。

此约束仅适用于 No Default 扩展。

Expand
表 B.30. 续订 Grace Period 约束配置参数
参数描述

renewal.graceAfter

设置证书过期 的期限(以天为单位)进行提交以进行续订。如果证书已到期,则续订请求将被拒绝。如果未指定值,则没有限制。

renewal.graceBefore

设置证书过期 的期限(以天为单位)进行续订。如果证书没有接近其过期日期,则续订请求将被拒绝。如果未指定值,则没有限制。

B.2.10. 签名算法约束
复制链接

Signing Algorithm 约束检查证书请求中的签名算法是否满足这个约束中设置的条件。

Expand
表 B.31. 签名算法约束配置参数
参数描述

signingAlgsAllowed

设置可指定为证书签名的签名算法。算法可以是以下任意或全部:

  • MD2withRSA
  • MD5withRSA
  • SHA256withRSA
  • SHA512withRSA
  • SHA256withEC
  • SHA384withEC
  • SHA512withEC

B.2.11. 主题名称约束
复制链接

Subject Name 约束检查证书请求中的主题名称是否满足条件。

Expand
表 B.32. 主题名称约束配置参数
参数描述

pattern

指定要构建主题 DN 的正则表达式或其他字符串。

主题名称和正则表达式

Subject Name Constraint 的正则表达式与用于匹配正则表达式的 Java 工具匹配。这些正则表达式的格式列在 https://docs.oracle.com/en/java/javase/21/docs/api/java.base/java/util/regex/Pattern 中。这允许星号(\*)等通配符搜索任意字符和句点(.)搜索任意类型字符。

例如,如果主题名称约束的模式被设置为 uid=。,证书配置集框架会检查证书请求中的主题名称是否与模式匹配。uid=user, o=Example, c=US 等主题名称满足模式 uid=.。主题名称 cn=user, o=example,c=US 不符合模式。uid=.* 表示主题名称必须以 uid 属性开头; period-asterisk (.*)通配符允许任何类型和字符数才能遵循 uid

可能需要内部模式,如 .ou=Engineering。 它需要 ou=Engineering 属性,其前后带有任何类型的字符串。这与 cn=jdoe,ou=internal,ou=west coast,ou=engineering,o="Example Corp",st=NC 以及 uid=bjensen,ou=engineering,dc=example,dc=com 匹配。

最后,也可以通过在选项之间设置 pipe 符号(|)来允许是一个字符串或另一个字符串的请求。例如,要允许包含 ou=engineering,ou=peopleou=engineering,o="Example Corp" 的主题名称,模式为 .ou=engineering,ou=people. | .ou=engineering,o="Example Corp "。

注意

对于构建使用特殊字符(如句点(.))的模式,请使用反斜杠(\)转义字符。例如,要搜索字符串 o="Example Inc.",请将模式设置为 o="Example Inc\. "。

证书请求中的主题名称和 UID 或 CN

用于构建主题 DN 的模式也可以基于请求证书的个人的 CN 或 UID。Subject Name Constraint 将 CN (或 UID)的模式设置为在证书请求的 DN 中识别,然后 CN 上的 Subject Name Default 构建在该 CN 上使用预定义的目录树创建证书的主题 DN。

例如,使用证书请求的 CN: 

policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl
policyset.serverCertSet.1.constraint.name=Subject Name Constraint
policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+
policyset.serverCertSet.1.constraint.params.accept=true
policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl
policyset.serverCertSet.1.default.name=Subject Name Default
policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$,DC=example, DC=com
Copy to Clipboard Toggle word wrap

B.2.12. 唯一的键约束
复制链接

此约束将检查公钥是否是唯一的。

Expand
表 B.33. 唯一的 Key 约束参数
参数描述

allowSameKeyRenewal

请求被视为续订,如果此参数设为 true,如果公钥不是唯一的,并且 主题 DN 与现有证书匹配,则接受请求。但是,如果公钥是重复的,且与现有的 Subject DN 不匹配,则请求将被拒绝。

当 参数设置为 false 时,重复的公钥请求将被拒绝。

B.2.13. 唯一的 Subject Name 约束
复制链接

Unique Subject Name 约束限制服务器使用相同主题名称发布多个证书。提交证书请求时,服务器会根据其他发布的证书别名自动检查 nickname。此约束可通过终端实体页面应用到证书注册和续订。

除非一个证书已过期或撤销(没有保存),否则证书不能具有相同的主题名称。因此,活跃的证书无法共享主题名称,一个例外:如果证书具有不同的密钥使用位,则可以共享相同的主题名称,因为它们有不同的用途。

Expand
表 B.34. 唯一的 Subject Name 约束配置参数
参数描述

enableKeyUsageExtensionChecking

可选设置,允许证书具有与密钥使用设置相同的主题名称。这是 truefalse。默认值为 true,它允许重复的主题名称。

B.2.14. 有效期约束
复制链接

Validity 约束检查证书请求中的有效期期限是否满足条件。

提供的参数必须是 sensible 值。例如,一个提供已传递的时间的 notBefore 参数不会被接受,以及一个 notAfter 参数,它提供的时间比 notBefore 时间不会被接受。

Expand
表 B.35. 有效期约束配置参数
参数描述

range

有效周期的范围。这是一个整数,用于设置天数。notBefore 时间和 notAfter 时间之间的差别(以天为单位)必须小于范围值,否则这个约束将被拒绝。

notBeforeCheck

验证范围是否不在宽限期内。当 NotBeforeCheck 布尔值参数设置为 true 时,系统会检查 notBefore 时间不超过当前时间以及 notBeforeGracePeriod 值。如果 notBeforeTime 没有在当前时间和 notBeforeGracePeriod 值之间,则这个约束将被拒绝。

notBeforeGracePeriod

notBefore 时间后的宽限期(以秒为单位)。如果 notBeforeTime 没有在当前时间和 notBeforeGracePeriod 值之间,则这个约束将被拒绝。只有在 notBeforeCheck 参数被设置为 true 时才会检查这个约束。

notAfterCheck

指示给定时间是否在过期期限之后。当 notAfterCheck 布尔值参数设置为 true 时,系统会检查 notAfter 时间不超过当前时间。如果当前时间超过 notAfter 时间,这个约束将被拒绝。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat