我们有一个CA颁发证书;证书政策";扩展,包括我们的组织公共OID
问题是:不幸的是,组织策略id(OID(太长(OID的一部分(,无法在某些编程语言(如Go(中进行解析。因此,有许多重要的、众所周知的和熟悉的工具在任何情况下都无法加载或使用我们的证书,比如SSL/TLS证书
我们的下级CA也有这个问题。我们正在寻找解决这一问题的办法。证书中是否还有使用现有策略的方法?喜欢分段OID还是缩短OID?
恐怕你运气不好。
RFC 5280附录B规定了关于任何对象标识符的以下内容:
对象标识符(OID(在整个规范中用于识别证书策略、公钥和签名算法,证书扩展等。OID没有最大大小。本规范要求支持具有弧形元素的OID值小于2^28,也就是说,它们必须在0之间268435455。这允许每个电弧元件表示在单个32位字内。实施也必须支持OID,其中虚线小数的长度(参见第1.4节[RFC4512]的(字符串表示最多可以是100个字节(含(。实现必须能够处理多达OID20个元素(包括20个元素(。CA不应颁发包含超过这些要求的OID。同样,CRL发行者不应发布包含超过这些OID的CRL要求。
虽然这些OID没有最大大小,但实现不必支持无限大小的OID。
如果你的OID更长,那么你的CA需要注意上面段落的倒数第二句。
RFC第6.1.3(d((1((i(节定义了策略处理,仅提及匹配OID。恐怕没有分段或缩短OID的概念。
您唯一的选择是重新发布较短的OID。