2

我收到错误"InvalidBasicConstraints: A certificate's basic constraint extension has not been observed."此证书是使用 OpenSSL 颁发的,将用作 WCF 服务的服务器端测试证书(在验证证书时会出现相同的错误)。我可以用这段代码复制错误。

X509Certificate2 cert = new X509Certificate2(@"c:\test.cer");

X509Chain chain = X509Chain.Create();
X509ChainPolicy policy = new X509ChainPolicy();
policy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy = policy;
bool valid = chain.Build(cert);

Console.WriteLine(string.Join(" -- ", chain.ChainStatus.Select(o => o.Status + ": " + o.StatusInformation)));
Console.WriteLine(valid ? "VALID" : "NOT VALID");

查看证书我可以看到这些基本约束,

Subject Type=End Entity
Path Length Constraint=None

这个错误是什么意思,我该如何解决?

我发现的关于基本约束的最相关文章是这篇,http://unitstep.net/blog/2009/03/16/using-the-basic-constraints-extension-in-x509-v3-certificates-for-intermediate -cas/但是它只谈论禁止子证书签署/创建更多子证书,在我的情况下我并没有尝试这样做。

此外,任何解释上述基本约束含义的参考资料都会有所帮助。

4

1 回答 1

6

http://forums.juniper.net/t5/SSL-VPN/quot-Failed-to-authenticate-client-certificate-quot-after/td-p/89232/page/4

阅读上述主题后,我看到有两种不同的主题类型,

Basic Constraints: Subject Type=CA, Length Constraint=None
Basic Constraints: Subject Type=End Entity, Path Length Constraint=None

我使用的服务器端证书实际上是层次结构中的第三个链接。

A -> B -> C....A 发行 B,然后发行签名 C。

证书B也有Subject Type=End Entity基本限制。我找不到任何说明不同类型的基本约束或其含义的文档,但基于上述两种类型的差异,我会说这End Entity意味着它不能颁发证书。它是链条的末端,而不是Subject Type=CA.

当 .NET 验证链时,它发现 B 没有其父证书颁发证书的权限并抛出错误,A certificate's basic constraint extension has not been observed.

编辑:使用自签名证书颁发的新证书进行进一步测试验证了上述理论。

于 2013-03-15T08:36:59.090 回答