jdk1.7を使用しています。SSLハンドシェイクに自己署名証明書を使用しています。jdk1.7 を使用している場合、証明書にキー使用法を含めることは必須ですか。混乱していることをお知らせください。
ありがとう、ラフル
質問する
190 次
1 に答える
1
RFC 5280の内容は次のとおりです。
適合 CA は、他の公開鍵証明書または CRL の
デジタル署名を検証するために使用される公開鍵を含む証明書に、この拡張機能を含める必要があります。
存在する場合、準拠する CA は、
この拡張機能をクリティカルとしてマークする必要があります。
ただし、RFC 5280 の更新版であるRFC 6818には、次のように記載されています。
X.509 (11/2008) [X.509] のセクション 3.4.61 と一致して、CA 以外のエンティティによって発行された自己発行証明書および自己署名証明書の使用は、この仕様の範囲外であることに注意してください。したがって、たとえば、Web サーバーまたはクライアントは、それ自体を識別するために自己署名証明書を生成する場合があります。これらの証明書と、証明書利用者がそれらを使用してアサートされた ID を認証する方法は、どちらも RFC 5280 の範囲外です。
そのため、CA の立場で行動している場合は、keyusage を含める必要があります。上記の段落に基づいて厳密に必須というわけではありませんが、とにかく含めることをお勧めします。
于 2013-08-06T04:34:01.593 に答える