Is the AuthorityInfoAccess field mandatory in x509v3? I have some certificates, and I'm trying to do OCSP verification, but they don't seem to have this field when I do
openssl x509 -in file.cer -inform DER -text -noout
I was wondering if it's not in that output does that mean it's not there?
这两个扩展都不是强制性的。它们在技术上都是可选的。但是某些应用程序可能需要存在特定的扩展。
例如,对于 CA 证书,它需要具有 aBasic Constraints和KeyUsage扩展名。否则,证书将不会被识别为 CA 证书。此外,在创建 X.509v3 证书时,最好包含Subject Key Identifier通过使用密钥匹配来简化链中的证书绑定。
有两种情况Authority Information Access(和CRL Distribution Points)不应该出现:在任何自签名证书和 OCSP 签名证书中。
正如您所说的 OCSP 证书,此扩展没有实际需要,因为所有必需的信息都在其他地方。例如,如果目标证书及其 OCSP 响应由同一个 CA 签名,则重复使用现有目标证书的链。如果 OCSP 使用委托的 OCSP 签名证书,则委托证书的链直接包含在 OCSP 响应中。
实际上,生成不良的证书也不包含Authority Information Access扩展名。