CA /从属CA的密钥用法

Question

在过去的十年里，我使用了一个私钥/证书。但是，现在Apache拒绝从这个私钥(它只有1024位长)开始，我想为我的实验室创建一个新的CA，并探索从属CA。

现在，我想为CA和从属CA创建一个新的CSR。顺便说一下，我正在使用Ansible来创建键/csr/certs。

现在我的问题是:我知道您可以通过使用相关选项(密钥使用和extended_key_usage)来限制他对证书/公钥的使用。

我的问题是：

1. 是否需要为CA/子CA指定任何限制？
2. 如果是的话，我应该适用哪些限制？

谢谢

Answer 1

是否需要为CA/子CA指定任何限制？如果是的话，我应该适用哪些限制？

如果是您的实验室，您实际上不需要/不必须指定任何KU或EKU (密钥使用或扩展密钥使用)。然而，在我看来，最好是这样做(尽可能接近真正的env，一些框架可能会抱怨)

实际上，您可以检查CA构建证书链的普通程度。我用的是：

CA证书：

KU: Digital Signature, Certificate Signing, Off-line CRL Signing, CRL Signing
Basic constraint: Subject Type=CA, Path Length Constraint=0

服务器/客户端证书：

KU :  Digital Signature, Key Encipherment
EKU:  Server Authentication, Client Authentication
Basic constraint: Subject Type=End Entity

虽然这取决于您希望如何处理证书。有几个很好的文档，比如这一个