我的根证书以ASN.1格式存储为多个文件。
假设我有一个相同格式的链式终端实体证书。如何有效地确定此证书的根证书?
目前,我必须采用强制方法来提取最终实体证书的公钥,并根据所有根证书对其进行验证,并将第一个匹配视为根证书。这是正确的做法吗?
答案 0 :(得分:0)
要查找证书的颁发者,您应使用“颁发者DN”并将其与CA商店中证书的“主题DN”相匹配。这应该会大大减少签名验证的数量。
可以使用具有相同“主题DN”的不同CA证书(具有不同的公钥,有效日期等),因此您的算法应该准备好处理它。 “主题密钥标识符”和“授权密钥标识符”也可以帮助减少候选人的数量。
查找颁发机构只是验证证书的“正确方法”的一小部分。我建议您查看http://www.ietf.org/rfc/rfc5280.txt“认证路径验证”的第6部分。有些部分很可能是矫枉过正(即大多数事情与政策有关)。