问题描述

与基本限制有关的警告出现在服务器端。

故障排除

请注意，并非下面所有任务都需要完成。有些问题仅通过执行几项任务就可以解决。

什么是基本限制？

基本限制扩展用于确定证书的主体是否为 CA 以及经过该 CA 可能存在多深的认证路径。

BasicConstraints 包含两个字段：

CA 是布尔类型，只能为 true 或 false。pathLenConstraint 字段只有在 CA 设置为 TRUE 时才有意义。在此情况下，它给出有效认证路径中此证书之后可能跟随的非自签发中间证书的最大数目。如果在主体字段和签发者字段中出现的 DN 相同且不为空，则证书为自签发证书。（备注：认证路径中的最后一个证书不是中间证书，不在此限制范围内。通常，最后一个证书为结束实体证书，但它可以是 CA 证书。）pathLenConstraint 为零表示在有效的认证路径中只能再跟随一个证书。只要出现，pathLenConstraint 字段“必须”大于或等于零。对于 pathLenConstraint 不出现的情况，则不加限制。

在含有验证证书中数字签名所用公钥的所有 CA 证书中，BasicConstraints“必须”以关键扩展形式出现。在含有出于验证证书中数字签名以外目的专用公钥的 CA 证书中，它“可以”以关键或非关键扩展形式出现。此类CA证书包括两种证书，一种含有专门用于验证CRL上数字签名的公钥，另一种含有与证书登记协议一同使用的密钥管理公钥。在结束实体证书中，BasicConstraints“可以”以关键或非关键扩展形 式出现。

警告消息及需要采取的措施

“基本限制”用于识别 CA，因而，如果限制检查设置为 strongnbsp&或 strict 而 CA 缺少基本限制扩展，则您将得到此消息。可以禁用限制检查，或者获取一个有效 CA 或一个具有有效 CA 的证书链。请注意，禁用限制检查会对安全造成严重威胁，不提倡这样做。

当具有“基本限制”的CA证书未标记为CRITICAL且启用了严格基本限制检查时，便会出现此错误。可将限制检查设置为缺省值，也可获取一个基本限制设置为 CRITICAL 的正确证书。

WebLogic Server SSL 详细信息：检查基本限制

Weblogic 服务器无法将证书链中的 CA 证书转换为可以进行基本限制检查的格式。如果证书链损坏，则需要更新证书链。但是，如果证书链完好，则说明问题出在 WebLogic Server 本身。另外，禁用限制检查也可以纠正该问题。请注意，禁用限制检查会对安全造成严重威胁，不提倡这样做。

路径长度限制了链中跟在一个 CA 证书后面的 CA 证书数。可以更新证书链，也可禁用限制检查。请注意，禁用限制检查会对安全造成严重威胁，不提倡这样做。