RFC 合規性

AWS 私有 CA 不會強制執行 RFC 52 80 中定義的某些限制。相反的情況也是如此：適用於私有 CA 的某些額外限制會強制執行。

強制執行

• 不在日期後。為了符合 RFC 5280 的規範，在發行 CA 憑證的 Not After 日期後， AWS 私有 CA 會防止發行具有 Not After 的憑證。

• 基本限制。 AWS 私有 CA 在匯入的 CA 憑證中強制執行基本限制和路徑長度。

  基本限制條件會指出憑證所識別的資源是否為 CA 且可以發行憑證。匯入 AWS 私有 CA 的 CA 憑證必須包含基本限制延伸，且延伸必須標記為 critical。除了critical標誌之外，還CA=true必須設置。 AWS 私有 CA 由於下列原因，驗證例外狀況失敗，強制執行基本限制：

  • 延伸不包含在 CA 憑證中。

  • 延伸未標記為 critical。

  路徑長度 (pathLenConstraint) 決定從匯入的 CA 憑證下游可能存在多少從屬 CA。 AWS 私有 CA 由於以下原因，驗證異常失敗來強制執行路徑長度：

  • 匯入 CA 憑證會違反 CA 憑證中 (或鏈結中的任何 CA 憑證中) 的路徑長度限制條件。

  • 發行憑證將違反路徑長度限制條件。

• 名稱限制表示名稱空間，必須在其中找到憑證路徑中後續憑證中的所有主體名稱。限制適用於主體辨別名稱和主體替代名稱。

未強制執行

• 憑證原則。憑證原則會規範 CA 發行憑證的條件。

• 禁止任何政策。用於發行給 CA 的憑證。

• 發行人替代名稱。允許其他身分與 CA 憑證的簽發者相關聯。

• 策略限制。這些限制條件會限制 CA 發行次級 CA 憑證的容量。

• 策略對應。用於 CA 憑證。列出一或多對 OID；每對包括 issuerDomainPolicy 和。subjectDomainPolicy

• 主旨目錄屬性。用於傳達主體的識別屬性。

• 主旨資訊存取。如何存取出現延伸功能之憑證主旨的資訊和服務。

• 主體金鑰識別符 (SKI) 和授權機構金鑰識別符 (AKI)。RFC 需要 CA 憑證，才能包含 SKI 延伸。CA 核發的憑證必須包含符合 CA 憑證 SKI 的 AKI 副檔名。 AWS 不會強制執行這些要求。如果您的 CA 憑證不包含 SKI，則發行的終端實體或次級 CA 憑證 AKI，將會改為發行者公有金鑰的 SHA-1 雜湊。

• SubjectPublicKeyInfo和主旨別名 (SAN)。發行憑證時，從提供的 CSR AWS 私有 CA 複製 SubjectPublicKeyInfo 和 SAN 延伸，而不執行驗證。