14
이 두 작업은 할 것 같은 : 그것은 예를 들어, 키 사용 확장을 사용하여 CA 인증서와 CA 인증서를 만드는 x.509 V3 확장 기본 제약 조건과 키 사용법의 차이점은 무엇입니까?
- 인증서 서명에 공개 키를 사용할 수 있음을 나타냅니다.
이러한 확장의 차이점은 무엇입니까?
그들은 동일한 목적을 수행합니까? 아니면 서로 보완합니까?
A
답변
14
"키 사용"은 인증서에 포함 된 키로 수행 할 수있는 작업을 정의합니다. 사용법의 예로는 암호문, 서명, 인증서 서명, CRL 서명 등이 있습니다.
"기본 제약 조건"은 인증서의 제목이 자식 인증서를 발급하도록 허용 된 CA인지 식별합니다.
- X509v3 기본 제약 조건 : CA : 인증서에 서명하는 데 사용할 수있는 인증서를 들어
는 정보가 일부 중복 의미에서 TRUE --- 인증서를 - X509v3 키 사용에 서명 할 수 있습니다 : 주요 인증서 서명 --- 인증서에 서명 할 수 있습니다.
그러나 "기본 제약 조건"은 유효한 인증 체인의 최대 깊이도 지정합니다.
중복 되더라도 RFC 3280 --- X.509에 따라 두 가지를 모두 지정해야합니다. 이것은 RFC에서 해당 단락 (29 페이지)입니다 :
주체 공개 키는 공개 키 인증서에 서명을 검증하기 위해 사용 때 keyCertSign 비트는 주장한다. keyCertSign 비트가 어설 션 된 경우 기본 제한 확장 (섹션 4.2.1.10)의 cA 비트도 어설 션되어야합니다.
1
키 용도는 인증서의 의도 된 용도를 설명합니다.
기본 제약 확장은 인증서가 맨 위에있을 수있는 인증서 체인의 깊이를 나타냅니다. 즉,이 확장은 CA가 하위 CA 인증서가 발급 될 때 하위 CA의 활동을 제한하는 데 사용됩니다. 최고 수준의 CA가 하위 CA를 얻으면 하위 CA가 최종 사용자 인증서를 발급 할 수 있지만 하위 CA는 자체 하위 CA를 가질 수 없습니다.
+0
@Eugene : 인증서에 서명 할 수 있지만 기본 제약 조건이 누락 된 주요 용도 확장을 가진 인증서를 가질 수 있습니까? 기본 제약 조건이있는 인증서를 인증서 경로가있는 CA로 사용하는 것과 동일합니까? – Cratylus
+0
@ user384706 RFC 5280의 4.2.1.9 절에서 : "준수하는 CA는 인증서의 디지털 서명을 확인하는 데 사용되는 공개 키가 포함 된 모든 CA 인증서에이 확장을 포함해야하며 해당 인증서에서 확장을 중요한 것으로 표시해야합니다." 그래서 당신의 질문에 대한 답은 "이것이 표준을 위반하는 것"인 것처럼 보입니다.그러나, 나는 그러한 확장없이 인증서를 보았다. –
+0
@Eugene : Java의 PKIX apis (Java6u23으로 검사)는 KeyUsage (기본 제약 조건 아님) 만있는 CA 인증서를 허용합니다. 이것은 Java가 RFC를 위반한다는 것을 의미합니까? – Cratylus
질문이 해결 되었습니까? 그런 다음 가장 좋은 대답을 수락하십시오. 그렇지 않으면 여기에 아직 누락 된 내용을 언급하십시오. –