プライベート中間CAを生成するための正しい設定
Linuxで「xca」を使用してプライベートCAを設定しています。 xcaには、ルートCAおよびエンドユーザーCAのテンプレートのみが含まれ、中間物は含まれません。ルートおよびエンドユーザー証明書と区別するための中間(この場合は最低レベル)レベルの認証局の正しい設定(フィールドとフラグ)は何ですか。ルートは自己署名されており、中間者はルートによって署名されていますが、それ以上の中間CA設定はわかりません。具体的には、ソフトウェアの設定ではなく、ルート証明書と中間証明書の違いについて尋ねています。
ルートCAと中間CAの唯一の違いは、ルートが定義により自己署名されていることです。
また、ルートCAまたは中間CAとエンド(ユーザー)証明書の違いは、最初の2つにはx509 Certificate sign拡張が含まれているのに対し、最後の1つには含まれていないことです。
したがって、それは自己署名の有無、および証明書記号拡張の存在の問題にすぎません。
これが質問に答えるかどうかはわかりません。しかし、私がここで与えた答えに似ています: ブラウザは中間証明書とエンドエンティティ証明書の違いをどのように確認しますか?
基本的な制約->サブジェクトタイプ:
- ルート証明書:「CA」
- エンドエンティティ証明書:「エンドエンティティ」
基本制約->パス長さ制約:
- ルート証明書:0
- エンドエンティティ証明書:なし
サブジェクトタイプは、証明書のタイプ(CA vsエンドエンティティ)を指定し、パス長さ制約は、チェーンに存在できる中間証明書の数を指定します。
パスの長さを0に設定すると、ルートエンティティとエンドエンティティの間に0の中間証明書が存在するように指定できます。中間証明書を効果的に無効にします。