CSRの有効期限/有効期限
OpensslでCSRを作成し、有効期限を5年に設定した場合、署名CAが有効期限を1年と設定する可能性はありますか?どちらが優先されますか?
編集:OK、StackOverflowの投稿からの答えが質問に答えると思います
OpenSSLを使用した証明書署名リクエストからリクエストされた有効期間を抽出
私はCSRで特定の有効期間を要求する方法を理解しようと努めてきましたが、私の知る限り、CSRはその情報を伝達しません。 CSRの構造はPKCS#10/RFC2986で定義されており、リクエストされた有効期間専用のフィールドはありません。 CSRに含めることができる属性と拡張機能はPKCS#9にリストされており、有効期間については何もありません。そして最後に、生成されたCSRでopenssl asn1parseを実行し、openssl reqに何を渡したかに関係なく、有効期間に関連する情報が含まれていないことを確認できます。
正しい。関連する標準は RFC528 のX.509仕様です。
4.1.2.5。有効
証明書の有効期間は、CAが証明書のステータスに関する情報を維持することを保証する期間です。
基本的に、証明書の要求者として、あなたはあなたの証明書の有効期間について絶対に何の発言もしません、これはCAの裁量で100%です。
これが理にかなっている理由を直感的に理解するには、X.509が設計された他の用途を検討してください。企業環境でのS/MIMEメール証明書です。明らかに、企業のシステム管理者は、エンドユーザーではなく、キーをロールオーバーする頻度を選択できます。
この哲学はWeb TLS証明書に適用されます。CAは、それらを解読するのにかかるより長い期間有効な証明書を発行しない責任があります(誰かがRSA-1024キーの10年証明書を要求していると想像してください)。この責任は部分的に CA /ブラウザフォーラム によって管理されます。たとえば、 このCA/B要件 を参照してください。
- ベースライン要件には何がありますか?
2012年7月1日以降に発行された証明書の有効期間は60か月を超えてはならず、2015年4月1日以降に発行された証明書は39か月を超えてはなりません。
実際には、各CAには、発行するすべての証明書に対して一定の有効期間がありますが、一部のCAは、より長い価格の証明書を発行します。