如何确定证书的根？

Question

我的根证书以 ASN.1 格式存储为多个文件。

假设我有一个相同格式的链接最终实体证书。如何高效判断该证书的根证书？

目前，我必须采取暴力方法，提取最终实体证书的公钥并针对所有根证书进行验证，并且第一个匹配项被视为根证书。这是正确的方法吗？

Answer 1

要查找证书的颁发者，您应该使用“颁发者 DN”并将其与 CA 存储中证书的“主题 DN”相匹配。这应该会显着减少签名验证的数量。

不同的 CA 证书可能具有相同的“主题 DN”（具有不同的公钥、有效日期等），因此您的算法应该准备好处理这种情况。 “主题密钥标识符”和“权威密钥标识符”也可以帮助减少候选者的数量。

查找颁发机构只是验证证书的“正确方法”的一小部分。我建议您查看 http://www.ietf.org/rfc/ 的第 6 部分rfc5280.txt“证书路径验证”。有些部分很可能是矫枉过正的（即大多数事情都与政策有关）。