B.2. 约束参考
约束用于定义证书的允许内容以及与该内容关联的值。本节列出了预定义的约束,以及每个部分的完整定义。
B.2.1. 基本限制扩展约束
Basic Constraints 约束会检查证书请求中是否满足此约束中设置的条件。
参数 | 描述 |
---|---|
basicConstraintsCritical | 指定扩展是否可以标记为关键或非关键。选择 true 来标记此扩展关键; 选择 false 以阻止此扩展标记为关键。选择一个连字符 - ,表示没有关键性首选项。 |
basicConstraintsIsCA | 指定证书主题是否为 CA。选择 true 需要这个参数的值为 true (是 CA);选择 false 以禁止此参数使用 true ;选择一个连字符 - - 以指示没有为此参数放置限制。 |
basicConstraintsMinPathLen |
指定允许的路径长度的最低允许,下可链的 CA 证书的最大数量(提交至)发出的从属 CA 证书。路径长度会影响证书验证过程中使用的 CA 证书数量。链从验证和移动的最终证书开始。
如果以长期证书设定扩展,则此参数无效。
允许的可能值为 0 或 n。该值必须小于 CA 签名证书的 Basic Constraints 扩展中指定的路径长度。
0 指定,在签发的从属 CA 证书下不允许从属 CA 证书;在路径中只能遵循最终用户证书。
n 必须是大于零的整数。这是最低限额的 CA 证书数量,允许位于所用的下级 CA 证书。
|
basicConstraintsMaxPathLen |
指定最大允许的路径长度,在下面链接的最大 CA 证书数(提交至)发出的从属 CA 证书数。路径长度会影响证书验证过程中使用的 CA 证书数量。链从验证和移动的最终证书开始。
如果以长期证书设定扩展,则此参数无效。
允许的可能值为 0 或 n。该值必须大于 CA 签名证书的 Basic Constraints 扩展中指定的路径长度。
0 指定,在签发的从属 CA 证书下不允许从属 CA 证书;在路径中只能遵循最终用户证书。
n 必须是大于零的整数。这是在使用从属 CA 证书下允许的最大下级 CA 证书数。
如果字段为空,则路径长度默认为由签发者证书中 Basic Constraints 扩展中设置的路径长度决定的值。如果签发者的路径长度不受限制,则从属 CA 证书中的路径长度也会无限。如果签发者的路径长度是一个大于零的整数,则从属 CA 证书中的路径长度被设置为比签发者的路径长度小的值之一;例如,如果签发者的路径长度为 4,则子协调 CA 证书中的路径长度被设置为 3。
|