本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
RFC 合規性
AWS 私有 CA 不會強制執行 RFC 52
強制執行
-
不在日期後
。為了符合 RFC 5280 的規範,在發行 CA 憑證的 Not After
日期後, AWS 私有 CA 會防止發行具有Not After
的憑證。 -
基本限制
。 AWS 私有 CA 在匯入的 CA 憑證中強制執行基本限制和路徑長度。 基本限制條件會指出憑證所識別的資源是否為 CA 且可以發行憑證。匯入 AWS 私有 CA 的 CA 憑證必須包含基本限制延伸,且延伸必須標記為
critical
。除了critical
標誌之外,還CA=true
必須設置。 AWS 私有 CA 由於下列原因,驗證例外狀況失敗,強制執行基本限制:-
延伸不包含在 CA 憑證中。
-
延伸未標記為
critical
。
路徑長度 (pathLenConstraint) 決定從匯入的 CA 憑證下游可能存在多少從屬 CA。 AWS 私有 CA 由於以下原因,驗證異常失敗來強制執行路徑長度:
-
匯入 CA 憑證會違反 CA 憑證中 (或鏈結中的任何 CA 憑證中) 的路徑長度限制條件。
-
發行憑證將違反路徑長度限制條件。
-
-
名稱限制
表示名稱空間,必須在其中找到憑證路徑中後續憑證中的所有主體名稱。限制適用於主體辨別名稱和主體替代名稱。
未強制執行
-
憑證原則
。憑證原則會規範 CA 發行憑證的條件。 -
禁止任何政策
。用於發行給 CA 的憑證。 -
發行人替代名稱
。允許其他身分與 CA 憑證的簽發者相關聯。 -
策略限制
。這些限制條件會限制 CA 發行次級 CA 憑證的容量。 -
策略對應
。用於 CA 憑證。列出一或多對 OID;每對包括 issuerDomainPolicy 和。subjectDomainPolicy -
主旨目錄屬性
。用於傳達主體的識別屬性。 -
主旨資訊存取
。如何存取出現延伸功能之憑證主旨的資訊和服務。 -
主體金鑰識別符 (SKI)
和授權機構金鑰識別符 (AKI) 。RFC 需要 CA 憑證,才能包含 SKI 延伸。CA 核發的憑證必須包含符合 CA 憑證 SKI 的 AKI 副檔名。 AWS 不會強制執行這些要求。如果您的 CA 憑證不包含 SKI,則發行的終端實體或次級 CA 憑證 AKI,將會改為發行者公有金鑰的 SHA-1 雜湊。 -
SubjectPublicKeyInfo
和主旨別名 (SAN) 。發行憑證時,從提供的 CSR AWS 私有 CA 複製 SubjectPublicKeyInfo 和 SAN 延伸,而不執行驗證。