突破自签名证书路径限制

从现在开始，我们要努力学习啦！今天我给大家带来《突破自签名证书路径限制》，感兴趣的朋友请继续看下去吧！下文中的内容我们主要会涉及到等等知识点，如果在阅读本文过程中有遇到不清楚的地方，欢迎留言呀！我们一起讨论，一起学习！

我有以下自签名证书链：

RootCA -> IntermediateCA（由根签名）-> 服务器证书（TLS 叶，由中间签名）

RootCA 的 MaxPathLen = 0

我的证书是使用 CreateCertificateAuthority 和 CreateIntermediateCertificateAuthority 使用 certstrap 生成的，因此我假设默认设置是正确的。但是，当尝试让我的自签名证书与 Python 或 Node 客户端一起使用时，我遇到了 path 长度限制超出 错误。

注意：使用 Go TLS 客户端时，只需提供中间 CA 证书，设置就可以正常工作。 Python 和 Node 似乎需要完整的证书链，这就是问题出现的原因。

从 rfc5280 我看到了这样的声明：

在这种情况下，它给出了 非自行颁发的中间证书的最大数量 在有效的认证路径中遵循此证书。

我对非自行颁发的中间证书感到困惑。这是否意味着我的链是有效的，因为 RootCA 签署了中间体（因此它不是非自发行的）。或者它无效，因为中间体被视为 non-self-issued 证书。 self 这里到底指的是什么？它可以是自签名或 rootca 是自签名的。

在这种情况下，我的 rootCA 的 MaxPathLen 实际上应该为 1 吗？

正确答案

自发行指的是链中的证书是自己发行的——即subject和issuer是相同的。这通常用于关键转换目的，否则可以忽略。

出现问题是因为您将 basicconstraint pathlenconstraint 为 0 放在根上。如果值为 0，则它应该位于链中的最后一个 ca - 您称为中间 ca 的 ca。

来自 rfc 5280：

pathlenconstraint 为零表示没有 [非 自颁发]中间 ca 证书可能遵循有效的 认证路径

明智的做法是不要在根上设置 pathlenconstraint，因为在签署时您可能不知道从属 ca 将如何随着时间的推移而填充。

如果根有 maxpathlen=0，那么它只能颁发最终实体证书，不能颁发中间 ca 证书。根 ca 是自签名的。

就您而言，根已颁发中间 ca，这是不允许的。并会得到您所描述的错误。

这是指可以遵循由该根颁发的根的中间 ca。

这是正确的，中间超出了 maxpathlen = 0。

指根。

maxpathlen >= 1 的根 ca 将适用于所呈现的场景。它可以有一个中间 ca，并且该中间 ca 可以签署最终实体证书。

root -> ica -> ee

但是，当 maxpathlen=1 时，以下内容将不起作用：

Root -> ICA-1 -> ICA-2 -> EE

好了，本文到此结束，带大家了解了《突破自签名证书路径限制》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多Golang知识！