Должен ли сертификат X509 иметь неразвичное бит для проверки подписи PKCS7?

Question

Сертификат x509 имеет набор битов ключей. Двое из них имеют цифровую связь
Несоответствие (недавние издания X.509 переименовали этот бит в ContentCommitment).

Я прочитал RFC X509 (http://tools.ietf.org/html/rfc5280.) и это говорит об общем использовании этого бита.

И я читаю PKCS7 RFC (http://tools.ietf.org/html/rfc2315) И он говорит о структуре PKCS7 и так далее и не указывает, какие биты должны быть установлены.

Есть ли RFC или другие спецификации, которые идентифицируют, следует ли настроить один или оба обоих?

С уважением, Виктор

Answer 1

Файл PKCS#7 обычно содержит цепочку сертификатов. То есть корневой сертификат CA, любые промежуточные сертификаты CA, которые применяются, а затем сертификат конечной точки (SSL, электронная почта и т. Д.) PKCS#7 обычно используется для объединения их в один файл. Это полезно, поскольку вы можете импортировать всю цепь одновременно в хранилище ключей или другое приложение для полагаться.

Что касается ключевых битов использования, те, которые устанавливаются в зависимости от потребностей и назначения определенного сертификата. Например, сертификат CORT CA, как правило, имеет как цифровая подпись, так и набор не отпоминания. Для сертификата SSL вы можете найти ключевую шифру и цифровую подпись. Нет никакой корреляции между файлами использования клавиш и PKCS # 7, если вы не говорите о сертификатах CA, содержащихся в файле PKCS # 7.

Answer 2

Кстати, этот бит нарушает разделение опасений в его дизайне. Невывидение - это юридические вопросы, согласованные на уровне бизнеса. Использование бита на уровне сертификата / подписания не имеет значения. Смотрите, например http://www-personal.umich.edu/~lsiden/tutorials/signed-applet/shockingtruth.html.