x509v3 Авторитет Информация Доступ
Обязательно ли поле AuthorityInfoAccess в x509v3? У меня есть несколько сертификатов, и я пытаюсь выполнить проверку OCSP, но у меня, кажется, нет этого поля, когда я делаю
openssl x509 -in file.cer -inform DER -text -noout
Мне было интересно, если это не в том выводе означает ли это, что его там нет?
1 ответ
Ни одно расширение не является обязательным. Все они технически необязательны. Но для некоторых приложений может потребоваться наличие определенных расширений.
Например, для сертификата CA необходимо иметь Basic Constraints а также KeyUsage расширения. В противном случае сертификат не будет признан сертификатом CA. Кроме того, при создании сертификатов X.509v3 рекомендуется включать Subject Key Identifier упростить привязку сертификата в цепочке с помощью сопоставления ключей.
Есть два случая, когда Authority Information Access (а также CRL Distribution Points) не должны быть представлены: в каких-либо самозаверяющих сертификатах и сертификатах подписи OCSP.
Поскольку вы говорите о сертификате OCSP, в этом расширении нет практической необходимости, потому что вся необходимая информация находится в другом месте. Например, если целевой сертификат и его ответ OCSP подписаны одним и тем же центром сертификации, цепочка существующего целевого сертификата используется повторно. Если OCSP использует делегированный сертификат подписи OCSP, то цепочка делегированного сертификата напрямую включается в ответ OCSP.
На практике плохо сгенерированные сертификаты не содержат Authority Information Access расширение также.