我正在构建一个新的 PKI,我们正在向我们的颁发 CA 添加名称约束,其中包括所有常见的名称,如 DNS、IP、电子邮件、目录名称等。
这个项目可能要求使用智能卡,我正尝试将其纳入 CA 限制中。我在网上找到的极少数示例中,限制的格式与电子邮件地址相同。我看到的内容如下:
permitted;email.1 = .example.com
permitted;email.2 = @example.com
permitted;otherName.1 = 1.3.6.1.4.1.311.20.2.3;UTF8:.example.com
permitted;otherName.1 = 1.3.6.1.4.1.311.20.2.3;UTF8:@example.com
问题在于 email.2 实际上是错误的。我最近让 golang 卡住了。查看 RFC,golang 是正确的;没有规定在限制中使用“@”。
因此,在最终不得不重新颁发 CA 之前,我试图弄清楚“@”对于 UPN 来说是否是伪造的。
真的有人尝试过如此鲁莽的尝试并且成功了吗?