0
在PKIX documentation它提到:爲什麼信任錨不能包含在PKIX認證路徑中?
1)代表 TrustAnchor的證書不應包括在 認證路徑
我的問題是,哪裏這個限制是從哪裏來的?在RFC 5280我才發現:
2)證書只能出現一次 的前瞻性 證書路徑。
RFC中的語句(2)是否隱含了語句(1)?因爲我看不到它。
將信任錨定在路徑中會產生什麼問題?最後,TA證書可以驗證自己。
請問誰能解釋一下?
你是對的。java中的TA對象可以用公鑰和名字初始化。但是如果路徑中有第一個真實的TA證書(按照5280),我無法看到問題。它仍然會使用自己的密鑰進行驗證。我這樣問的原因是,在使用PKIX apis的特定情況下,我碰巧將TA證書作爲驗證路徑中的第一個也是唯一的證書並且也發生了與TrustAnchor的pararmeter相同的證書傳遞。我得到異常「找不到有效的路徑」。但是證書是一樣的!我在這裏輸了 – Cratylus 2011-05-02 21:06:19
我的猜測是它是這樣:a信任錨點可能不是認證路徑的一部分。我在庫中看不到有任何問題(如果它是認證路徑的一部分,只是忽略信任錨定證書),但看起來您使用的API不允許這樣做。我不認爲有什麼特別深的事情;只是希望將API與自己和標準保持一致。 – 2011-05-02 21:28:40