RHEL/Apache ssl.conf 配置问题

Question

pinhead

Asked: 2020-04-26 15:45:24 +0800 CST2020-04-26 15:45:24 +0800 CST 2020-04-26 15:45:24 +0800 CST

x509 扩展：“extnValue”可以为空吗？

我正在编写一个解析 x509 证书的脚本。x509 v3 证书的扩展是一个 ASN.1 序列，其中包含一个 OID、一个critical标志和一个称为extnValue.

对于basicConstraints扩展，extnValue 应该是另一个带有详细信息的 ASN.1 序列。

我遇到了一个在那里有一个空序列的证书。从字面上0x30 0x00看，解析为零长度的 ASN.1 序列的字节，而不是预期的数据集（证书颁发机构的布尔值和路径长度的整数。

我在野外找到了具有这种质量的证书这一事实意味着它是有效的，但我希望找到一个关于此的具体协议规则，以便我的脚本可以正确处理它而不是引发错误。

bartonjs · Answer 1 · 2020-04-26T16:41:59+08:00

Best Answer

bartonjs

extnValue不是空的，它是30 00，它是一个空序列。

BasicConstraints ::= SEQUENCE {
    cA                      BOOLEAN DEFAULT FALSE,
    pathLenConstraint       INTEGER (0..MAX) OPTIONAL }

因此，空序列在逻辑上是{ cA: FALSE, pathLenConstraint: Not Present }.

因为证书使用 ASN.1 DER 编码，所以DEFAULT永远不应该指定一个值，并且文本说在设置为pathLenConstraint时永远不应该指定，因此“此证书不代表证书颁发机构”的唯一有效形式是。cAFALSE30 00