B.2. 约束参考


约束用于定义证书的允许内容以及与该内容关联的值。本节列出了预定义的约束,以及每个部分的完整定义。

B.2.1. 基本限制扩展约束

Basic Constraints 约束会检查证书请求中是否满足此约束中设置的条件。
表 B.25. 基本限制约束配置参数
参数 描述
basicConstraintsCritical 指定扩展是否可以标记为关键或非关键。选择 true 来标记此扩展关键; 选择 false 以阻止此扩展标记为关键。选择一个连字符 -,表示没有关键性首选项。
basicConstraintsIsCA 指定证书主题是否为 CA。选择 true 需要这个参数的值为 true (是 CA);选择 false 以禁止此参数使用 true ;选择一个连字符 - - 以指示没有为此参数放置限制。
basicConstraintsMinPathLen
指定允许的路径长度的最低允许,下可链的 CA 证书的最大数量(提交至)发出的从属 CA 证书。路径长度会影响证书验证过程中使用的 CA 证书数量。链从验证和移动的最终证书开始。
如果以长期证书设定扩展,则此参数无效。
允许的可能值为 0n。该值必须小于 CA 签名证书的 Basic Constraints 扩展中指定的路径长度。
0 指定,在签发的从属 CA 证书下不允许从属 CA 证书;在路径中只能遵循最终用户证书。
n 必须是大于零的整数。这是最低限额的 CA 证书数量,允许位于所用的下级 CA 证书。
basicConstraintsMaxPathLen
指定最大允许的路径长度,在下面链接的最大 CA 证书数(提交至)发出的从属 CA 证书数。路径长度会影响证书验证过程中使用的 CA 证书数量。链从验证和移动的最终证书开始。
如果以长期证书设定扩展,则此参数无效。
允许的可能值为 0n。该值必须大于 CA 签名证书的 Basic Constraints 扩展中指定的路径长度。
0 指定,在签发的从属 CA 证书下不允许从属 CA 证书;在路径中只能遵循最终用户证书。
n 必须是大于零的整数。这是在使用从属 CA 证书下允许的最大下级 CA 证书数。
如果字段为空,则路径长度默认为由签发者证书中 Basic Constraints 扩展中设置的路径长度决定的值。如果签发者的路径长度不受限制,则从属 CA 证书中的路径长度也会无限。如果签发者的路径长度是一个大于零的整数,则从属 CA 证书中的路径长度被设置为比签发者的路径长度小的值之一;例如,如果签发者的路径长度为 4,则子协调 CA 证书中的路径长度被设置为 3。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.