Chiarimento sulla bandiera -h per Makecert.exe

Naviga le tue risposte
3

Quando si utilizza Makecert.exe di Microsoft per generare un certificato (e una chiave), esiste la possibilità di "specificare l'altezza massima dell'albero sotto quel certificato", usando l'opzione -h (si veda MSDN )

Come esperimento, ho creato un certificato con "-h 0", supponendo che ciò significhi che questo certificato a sua volta non può essere utilizzato per generare un altro (aggiungendo alla catena). Ho poi continuato a tentare di creare un certificato successivo, e con mia sorpresa è andato tutto bene.

Non riesco a trovare nulla che spieghi ulteriormente l'utilizzo del flag su MSDN o altrove. Può uno di voi per favore illuminarmi?

    
posta Oskar Lindberg 29.10.2014 - 14:09
fonte

1 risposta

2

Ho fatto ulteriori indagini e mi sono reso conto che questo vincolo viene preso in considerazione al momento di risolvere la catena di certificati della fiducia, non al momento della creazione di un nuovo collegamento. Da RFC 5280 :

The pathLenConstraint field [...]. In this case, it gives the
maximum number of non-self-issued intermediate certificates that may
follow this certificate in a valid certification path. [...] A pathLenConstraint
of zero indicates that no non-self-issued intermediate CA certificates may
follow in a valid certification path. [...] Where pathLenConstraint does
not appear, no limit is imposed.

Vedi anche TechNet - Comprendere i vincoli .

    
risposta data 29.10.2014 - 14:57
fonte

Leggi altre domande sui tag

Gestione dei diritti di accesso nelle grandi aziende In che modo lo stesso criterio di origine causa il fallimento del PoC quando non è necessario leggere i dati di restituzione?