X509 证书具有一组 keyUsage 位。其中两个是 digitalSignature
nonRepudiation(X.509 的最新版本已将此位重命名为 contentCommitment)。
我阅读了 X509 RFC ( https://www.rfc-editor.org/rfc/rfc5280 ),它谈到了这些位的一般用法。
我阅读了 PKCS7 RFC ( https://www.rfc-editor.org/rfc/rfc2315 ),它谈到了 PKCS7 结构等等,并没有指定需要设置哪些位。
是否有任何 RFC 或其他规范来确定是否应该设置其中一个或两个?
问候,维克多
PKCS#7 文件通常包含证书链。也就是说,根 CA 证书、任何适用的中间 CA 证书,然后是端点证书(SSL、电子邮件等)。PKCS#7 通常用于将它们捆绑到一个文件中。它很有用,因为您可以一次将整个链导入密钥库或其他依赖应用程序。
至于密钥使用位,根据特定证书的需要和目的设置。例如,根 CA 证书通常具有数字签名和不可否认集。对于 SSL 证书,您可能会发现密钥加密和数字签名。密钥使用和 PKCS#7 文件之间确实没有关联,除非您谈论的是 PKCS#7 文件中包含的 CA 证书。
顺便说一句,这一点违反了其设计中的关注点分离。不可否认性是在业务层面协商的法律问题。在证书/签名级别使用该位是无关紧要的。参见例如http://www-personal.umich.edu/~lsiden/tutorials/signed-applet/ShockingTruth.html