企业社会责任届满日期/有效期

Question

如果我用openssl创建了一个CSR，并将有效期设置为5年，那么签名CA是否可能将到期日期设置为一年？哪个优先？

编辑:好的，我认为StackOverflow帖子的答案回答了这个问题

使用OpenSSL从证书签名请求中提取请求的有效期

我一直在努力弄清楚如何在CSR中请求一个特定的有效期，据我所知，CSR根本不包含这些信息。企业社会责任的结构是在PKCS#10 / RFC2986中定义的，它没有专门针对请求的有效期的字段。可以放在CSR中的属性和扩展是在PKCS#9中列出的，并且没有任何关于有效期的内容。最后，我可以在生成的CSRs上执行openssl asn1parse，并发现不包含与有效期相关的信息，而不管我传递给openssl req的是什么。“

Answer 1

对，是这样。相关标准是RFC5280中的X.509规范：

4.1.2.5.证书有效期是CA保证它将维护有关证书状态的信息的时间间隔。

基本上，作为证书请求者，您在证书有效期内绝对没有发言权，这是CA的自由裁量权。

为了了解为什么这是有意义的，请考虑X.509设计的另一个用途: S/MIME电子邮件证书在企业环境中的应用。很明显，你的公司系统管理员可以选择你翻滚钥匙的频率，而不是最终用户。

这一理念适用于web TLS证书，因为CA有责任不颁发有效期较长的证书，因为破解这些证书需要更长的时间(假设有人要求获得RSA-1024密钥的10年证书)。这一责任在一定程度上由CA/Browser论坛管理。例如，请参见这一CA/B要求：

1. 基线要求中有什么？

2012年7月1日以后签发的证书的有效期不得超过60个月，2015年4月1日后的有效期不得超过39个月。

在实践中，每个CA对它发出的所有证书都有一个固定的有效期，尽管一些CA会以更高的价格签发更长的证书。