在PKIX documentation它提到:
- The certificate representing the TrustAnchor should not be included in the certification path
我的问题是,这个限制从何而来?在RFC 5280我只发现:
- A certificate MUST NOT appear more than once in a prospective certification path.
RFC 中的声明 (2) 是否以某种方式暗示了声明 (1)?因为我看不到。
在路径中也有信任 anchor 会产生什么问题? 最后,TA 证书可以 self 验证。
有人能解释一下吗?
最佳答案
这更像是一个定义性的东西,IIUC。 RFC 5280 中定义了一个有效的证书路径,其中一个条件是它的第一个证书由信任 anchor 签名(并且证书的 issuerName 与该信任 anchor 的名称相匹配)。 (信任 anchor 不必是证书。)
关于java - 为什么信任 anchor 不应包含在 PKIX 认证路径中?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5861983/