Длина основного пути ограничения

Ответ 1

Взято из RFC 5280, раздел 4.2.1.9:

Указатель pathLenConstraint of zero указывает, что никакие неавтоматические выпуски промежуточных сертификатов CA могут следовать по допустимому пути сертификации. Где он появляется, поле pathLenConstraint ДОЛЖНО быть больше или равно нулю. Если pathLenConstraint не появляется, ограничение не налагается.

т.е. a pathLenConstraint из 0 все еще позволяет CA выдавать сертификаты, но эти сертификаты должны быть сертификатами конечных сущностей (флаг CA в BasicConstraints является ложным - это "обычные" сертификаты, которые выдаются людям или организациям).

Также подразумевается, что с этим сертификатом ЦС не должен выдавать промежуточные сертификаты ЦС (где флаг ЦС снова является истинным) - это сертификаты, которые потенциально могут выдавать дополнительные сертификаты, тем самым увеличивая pathLen на 1).

Отсутствие pathLenConstraint, с другой стороны, означает, что нет ограничений, учитывая длину путей сертификатов, построенных из сертификата конечного объекта, который приведет к нашему примеру CA-сертификата. Это означает, что ЦС может выдавать промежуточный сертификат для вспомогательного ЦС, этот дополнительный ЦС мог бы снова выдавать промежуточный сертификат, этот дополнительный ЦС мог бы снова... пока, наконец, один субцентр не выдаст сертификат конечного объекта.

Если pathLenConstraint данного сертификата ЦС > 0, он выражает количество возможных промежуточных сертификатов ЦС в пути, построенном из сертификата конечного объекта, до сертификата ЦС. Пусть, скажем, CA X имеет pathLenConstraint of 2, сертификат конечной сущности выдается EE. Тогда допустимы следующие сценарии (я указываю промежуточный сертификат CA)

X - EE
X - I1 - EE
X - I1 - I2 - EE

но этот и те сценарии с еще более средними СА не являются

X - I1 - I2 - I3 - EE
...