none
процедура проверки валидности сертификата (расширение Name Constraints Extension) (вопрос по Центрам Сертификации) RRS feed

  • Вопрос

  • День Добрый!
    Разрешите задать Вам несколько вопросов.

    Стенд:
    1)изолированный корневой ЦС - RootCA
    2)промежуточный изолированный корневой ЦС - PolicyCA (в сертификате ЦС применена политика ограничения имен [NameConstraintsExtension]

    [NameConstraintsExtension]
    Include = NameConstraintsPermitted
    Critical = True
    [NameConstraintsPermitted]
    e-mail: @bbb.ru

    сразу вопрос по применяемой политике:
    (по области [NameConstraintsPermitted] - проверяется соответствие параметров в запросе на сертификат любому из указанных параметров политики или одновременно всем ? (то есть проверится соответствие параметров и DirectoryName и UPN в запросе и политике, или соответствие любого из этих параметров DirectoryName или UPN ?)

    3) enterprise выпускающий ЦС - issueCA (в сертификате ЦС применена политика ограничения имен [NameConstraintsExtension]

    [NameConstraintsExtension]
    Include = NameConstraintsPermitted
    Critical = True
    [NameConstraintsPermitted]
    e-mail: @ccc.ru

    4) сертификат конечного пользователя (к примеру e-mail: 1@ccc.ru)

    Как осуществляется проверка на валидность сертификата конечного пользователя:
    проверяется, что сертификат пользователя удолетворяет требованиям issueCA, а issue CA требованиям policyCA?
    или будет производится проверка, что сертификат пользователя удовлетворяет требованиям политик и issueCA и policyCA?

    На данном примере сертификат буден валиден или нет ? issueCA не позволит его выпустить ?

    17 сентября 2009 г. 7:05