我正在尝试在 Java 上使用 BouncyCastle (1.52) 创建 CA 证书,然后从中颁发客户端证书。
我已经设法使用 X509v3CertificateBuilder 类来做到这一点,但是该类只采用发行者的 X500Name 和私钥,这意味着似乎没有对用于生成/签署客户端证书的证书是否允许执行任何验证所以。这允许我使用另一个客户端证书(BasicConstraint 扩展设置为 false)或使用没有正确 KeyUsage 扩展的证书签署客户端证书。
是否有一些类在登录 BC 时执行所有这些验证,或者是否有一些东西要由用户来实现?