本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
RFC 合规性
Amazon 私有 CA 不强制执行 RFC 528
强制实施
-
“不迟于”日期
。根据 RFC 5280 , Amazon 私有 CA 防止颁发 Not After
日期晚于颁发 CA 证书的Not After
日期的证书。 -
基本限制
。 Amazon 私有 CA 在导入的 CA 证书中强制执行基本限制和路径长度。 基本约束指示证书所标识的资源是否为 CA 并可以颁发证书。导入到 Amazon 私有 CA 的 CA 证书必须包含基本约束扩展,并且该扩展必须标记为
critical
。除了critical
旗帜外,还CA=true
必须设置。 Amazon 私有 CA 由于以下原因而失败并出现验证异常,从而强制执行基本约束:-
CA 证书中不包含该扩展。
-
该扩展未标记为
critical
。
路径长度 (pathLenConstraint) 决定了导入的 CA 证书的下游可能存在多少个从属 CA。 Amazon 私有 CA 由于以下原因,由于验证异常而失败,从而强制执行路径长度:
-
导入 CA 证书将违反 CA 证书或链中任何 CA 证书中的路径长度约束。
-
颁发证书将违反路径长度约束。
-
-
名称限制
表示一个命名空间,认证路径中后续证书中的所有使用者名称都必须位于该命名空间内。限制适用于主题可分辨名称和主题备用名称。
未强制实施
-
证书政策
。证书政策规定了 CA 颁发证书的条件。 -
禁止任何政策
。用于颁发给 CA 的证书。 -
发行人备用名称
。允许将其他身份与 CA 证书的颁发者相关联。 -
政策限制
。这些约束限制 CA 颁发从属 CA 证书的能力。 -
策略映射
。用于 CA 证书。列出一对或多对 OID;每对包括 a issuerDomainPolicy 和 a subjectDomainPolicy。 -
主题目录属性
。用于传达拍摄对象的识别属性。 -
主题信息访问
。如何访问包含扩展程序的证书主体的信息和服务。 -
主题密钥标识符 (SKI)
和授权密钥标识符 (AKI) 。RFC 需要 CA 证书才能包含 SKI 扩展。CA 颁发的证书必须包含与 CA 证书的 SKI 匹配的 AKI 扩展名。 Amazon 不强制执行这些要求。如果您的 CA 证书不包含 SKI,则颁发的终端实体或从属 CA 证书 AKI 将改为颁发者公有密钥的 SHA-1 哈希。 -
SubjectPublicKeyInfo
和主题备用名称 (SAN) 。颁发证书时,无需执行验证,即可从提供的 CSR 中 Amazon 私有 CA 复制 SubjectPublicKeyInfo 和 SAN 扩展。