当尝试颁发中级 CA 证书时,我创建了一个模板,它为 CA 设置了 x509 基本约束,但我故意忽略了“关键”。
当我使用此模板创建证书时,所创建的证书的基本约束被标记为关键。似乎 CA 正在覆盖我的模板并使约束成为关键。
即使我用它certutil来设置基本约束的扩展值,一旦我颁发证书,它就会变回关键状态。
答案1
这是因为 CA 策略模块会覆盖此设置。策略模块遵循其自己的规则(可能与请求设置不一致)来修复请求中的一些错误或不支持的字段。RFC 不允许 CA 证书的非关键基本约束,因此在证书签名期间将其设置为关键。