証明書の保存と参照

Question

証明書に関連する作業をしていて、/ hash /何かをタグ付けする方法がある場合は、証明書の親証明書をすべて調べるよりも早く証明書の検索を行うことができますフォルダ？いくつかのフィールドから情報を抽出し、親の証明書に素早く関連付けることで、私が適切に索引付けしたと仮定してチェーンを迅速に解決できるように、私は一種の明確で一意の索引付け方法を探しています。同じユニークキー（ファイル名やデータベースなどでインデックス値を使用することができます）を使用して証明書を作成します。

私は、あなたは、/ etc/sslの/ certsのを見たときにUbuntuの上で、私は承知している本命に

lrwxrwxrwx 1 root root  12 Mar 9 2016 e113c810.0 -> Certigna.pem 
lrwxrwxrwx 1 root root  25 Mar 9 2016 e18bfb83.0 -> QuoVadis_Root_CA_3_G3.pem 
lrwxrwxrwx 1 root root  36 Mar 9 2016 e268a4c5.0 -> AddTrust_Low-Value_Services_Root.pem 
lrwxrwxrwx 1 root root  49 Mar 9 2016 e2799e36.0 -> GeoTrust_Primary_Certification_Authority_-_G3.pem 
lrwxrwxrwx 1 root root  25 Mar 9 2016 e36a6752.0 -> Atos_TrustedRoot_2011.pem 
lrwxrwxrwx 1 root root  25 Mar 9 2016 e442e424.0 -> QuoVadis_Root_CA_3_G3.pem 

リンクある種のおそらくCRC32のように見えるのシンボリックリンクの束があることに気づきましたそれは私が探しているものではなく、証明書の内容そのものの更なる検証として役立つように見える。

ありがとうございます。

Answer 1

発行者の公開鍵のハッシュを使用できます。 Authority Key Identifier証明書拡張のprtとしてリーフ証明書で提示されます。これには、発行者の公開鍵で計算されたハッシュが含まれます。 CA証明書では、この値はSubject Key Identifierに格納されます。

AKI拡張がない場合、チェーン内の証明書をバインドする唯一の方法は、名前の一致を使用することです。 Issuerリーフ証明書のフィールドは、発行者のフィールドSubjectと一致する必要があります。ただし、CAが複数のCAキーを保持している場合は、同じ件名で異なるキーを持つ複数のCA証明書が存在する可能性があります。この場合、一致する各発行者候補を試し、署名の検証を試みる必要があります。

これは、発行者の公開鍵のハッシュと発行者のSubjectフィールドの2つのインデックスを維持して、証明書ルックアップを高速化する必要があることを意味します。