RFC 合规性 - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

RFC 合规性

Amazon 私有 CA 不强制执行 RFC 528 0 中定义的某些限制。相反的情况也是如此:强制实施某些适用于私有 CA 的附加约束。

强制实施

  • “不迟于”日期。根据 RFC 5280, Amazon 私有 CA 防止颁发 Not After 日期晚于颁发 CA 证书的 Not After 日期的证书。

  • 基本限制。 Amazon 私有 CA 在导入的 CA 证书中强制执行基本限制和路径长度。

    基本约束指示证书所标识的资源是否为 CA 并可以颁发证书。导入到 Amazon 私有 CA 的 CA 证书必须包含基本约束扩展,并且该扩展必须标记为 critical。除了critical旗帜外,还CA=true必须设置。 Amazon 私有 CA 由于以下原因而失败并出现验证异常,从而强制执行基本约束:

    • CA 证书中不包含该扩展。

    • 该扩展未标记为 critical

    路径长度 (pathLenConstraint) 决定了导入的 CA 证书的下游可能存在多少个从属 CA。 Amazon 私有 CA 由于以下原因,由于验证异常而失败,从而强制执行路径长度:

    • 导入 CA 证书将违反 CA 证书或链中任何 CA 证书中的路径长度约束。

    • 颁发证书将违反路径长度约束。

  • 名称限制表示一个命名空间,认证路径中后续证书中的所有使用者名称都必须位于该命名空间内。限制适用于主题可分辨名称和主题备用名称。

未强制实施

  • 证书政策。证书政策规定了 CA 颁发证书的条件。

  • 禁止任何政策。用于颁发给 CA 的证书。

  • 发行人备用名称。允许将其他身份与 CA 证书的颁发者相关联。

  • 政策限制。这些约束限制 CA 颁发从属 CA 证书的能力。

  • 策略映射。用于 CA 证书。列出一对或多对 OID;每对包括 a issuerDomainPolicy 和 a subjectDomainPolicy。

  • 主题目录属性。用于传达拍摄对象的识别属性。

  • 主题信息访问。如何访问包含扩展程序的证书主体的信息和服务。

  • 主题密钥标识符 (SKI)授权密钥标识符 (AKI)。RFC 需要 CA 证书才能包含 SKI 扩展。CA 颁发的证书必须包含与 CA 证书的 SKI 匹配的 AKI 扩展名。 Amazon 不强制执行这些要求。如果您的 CA 证书不包含 SKI,则颁发的终端实体或从属 CA 证书 AKI 将改为颁发者公有密钥的 SHA-1 哈希。

  • SubjectPublicKeyInfo主题备用名称 (SAN)。颁发证书时,无需执行验证,即可从提供的 CSR 中 Amazon 私有 CA 复制 SubjectPublicKeyInfo 和 SAN 扩展。