Должен ли сертификат X509 иметь неразвичное бит для проверки подписи PKCS7?
-
29-09-2019 - |
Вопрос
Сертификат x509 имеет набор битов ключей. Двое из них имеют цифровую связь
Несоответствие (недавние издания X.509 переименовали этот бит в ContentCommitment).
Я прочитал RFC X509 (http://tools.ietf.org/html/rfc5280.) и это говорит об общем использовании этого бита.
И я читаю PKCS7 RFC (http://tools.ietf.org/html/rfc2315) И он говорит о структуре PKCS7 и так далее и не указывает, какие биты должны быть установлены.
Есть ли RFC или другие спецификации, которые идентифицируют, следует ли настроить один или оба обоих?
С уважением, Виктор
Решение
Файл PKCS#7 обычно содержит цепочку сертификатов. То есть корневой сертификат CA, любые промежуточные сертификаты CA, которые применяются, а затем сертификат конечной точки (SSL, электронная почта и т. Д.) PKCS#7 обычно используется для объединения их в один файл. Это полезно, поскольку вы можете импортировать всю цепь одновременно в хранилище ключей или другое приложение для полагаться.
Что касается ключевых битов использования, те, которые устанавливаются в зависимости от потребностей и назначения определенного сертификата. Например, сертификат CORT CA, как правило, имеет как цифровая подпись, так и набор не отпоминания. Для сертификата SSL вы можете найти ключевую шифру и цифровую подпись. Нет никакой корреляции между файлами использования клавиш и PKCS # 7, если вы не говорите о сертификатах CA, содержащихся в файле PKCS # 7.
Другие советы
Кстати, этот бит нарушает разделение опасений в его дизайне. Невывидение - это юридические вопросы, согласованные на уровне бизнеса. Использование бита на уровне сертификата / подписания не имеет значения. Смотрите, например http://www-personal.umich.edu/~lsiden/tutorials/signed-applet/shockingtruth.html.