证书扩展和crl扩展.ppt

PKI技术
第十一讲证书扩展和CRL扩展
1
回顾
在证书中,最基本应该包含如下信息:
订户名称
CA名称
订户公钥
支持多种算法
应有算法标识(OID的形式)

CA签名结果
支持多种算法
应有算法标识
SHA1-
2
其他内容
如果想在证书中,带有更多的其他信息,就要以证书扩展的形式
例如,密钥用途
是否是CA证书
证书策略
等等
3
本课程内容
逐一讲解在RFC
以及2种由RFC 3280单独定义的证书扩展
Certificate Extensions
Authority Information Access
Subject Information Access
4
标准的证书扩展1
Authority Key Identifier
Subject Key Identifier
Key Usage
Private Key Usage Period
Certificate Policies
Policy Mappings
5
标准的证书扩展2
Subject Alternative Name
Issuer Alternative Name
Subject Directory Attributes
Basic Constraints
Name Constraints
6
标准的证书扩展3
Policy Constraints
Extended Key Usage
CRL Distribution Points
Inhibit Any-Policy
Freshest CRL
7
扩展使用中的问题
我们前面已经提过,除了在国际标准中定义扩展,每个人也可以自己定义不同的扩展
那么,应用系统在使用证书时,如果碰到了不认识的扩展(不知道如何去解码),应该如何处理?
忽略该扩展?
其他的信息仍然可以正确解码(例如公钥、Subject DN等等)
或者认为该证书就是格式错误,非法证书?
8
扩展项的Critical
在每个扩展项中,包括了critical
称为扩展的关键度
TRUE:关键扩展
FALSE:非关键扩展
用于辅助PKI应用系统处理扩展项的信息
9
关键/非关键扩展项的处理
应用系统碰到不知道如何解码的扩展项
关键扩展
直接认为该证书是非法证书
非关键扩展
忽略跳过该扩展项
10