Aclaración de la marca -h para Makecert.exe

3

Cuando se usa Makecert.exe de Microsoft para generar un certificado (y una clave), existe la opción de supuestamente "especificar la altura máxima del árbol debajo de ese certificado", usando la marca -h (vea MSDN ).

Como experimento, creé un certificado con "-h 0", asumiendo que esto significa que este certificado, a su vez, no se pudo usar para generar otro (agregar a la cadena). Luego intenté crear un certificado posterior y, para mi sorpresa, todo salió bien.

No puedo encontrar nada más que explique el uso de la bandera en MSDN o en cualquier otro lugar. ¿Puede uno de ustedes por favor iluminarme?

    
pregunta Oskar Lindberg 29.10.2014 - 14:09
fuente

1 respuesta

2

Hice una investigación adicional y me di cuenta de que esta restricción se tiene en cuenta en el momento de resolver la cadena de certificados de confianza, no en el momento de crear un nuevo enlace. De RFC 5280 :

  

El campo pathLenConstraint [...]. En este caso, le da el
.   Número máximo de certificados intermedios no auto emitidos que pueden ser   siga este certificado en una ruta de certificación válida. [...] A pathLenConstraint
  de cero indica que no se pueden emitir certificados de CA intermedios no auto emitidos
  Seguir en una ruta de certificación válida. [...] Donde pathLenConstraint hace
  No aparece, no se impone ningún límite.

Vea también TechNet - Descripción de las restricciones .

    
respondido por el Oskar Lindberg 29.10.2014 - 14:57
fuente

Lea otras preguntas en las etiquetas