我正在使用jdk1.7。 我使用自签名证书进行SSL握手。 如果我使用jdk1.7,是否必须在证书中使用keyusage。 请让我知道我很困惑。
谢谢, 拉胡
答案 0 :(得分:1)
以下是RFC 5280所说的内容:
符合CA必须在证书中包含此扩展名 包含用于验证数字签名的公钥 其他公钥证书或CRL。如果存在,符合CAs 应该将此扩展标记为关键。
然而,RFC 6818是RFC 5280的更新,它说:
与X.509(11/2008)[X.509]的第3.4.61节一致,我们注意到 使用自行颁发的证书和自签名证书 由CA以外的实体发布的不在此范围之内 规格。因此,例如,Web服务器或客户端可能 生成自签名证书以标识自己。这些 证书以及依赖方如何使用它们进行身份验证 断言的身份都在RFC 5280的范围之外。
因此,如果您以CA的身份行事,则应包括keyusage。无论如何,包括它可能是一个好主意,尽管根据上面的段落并不严格要求。