B.3. 标准 X.509 v3 证书扩展参考
例 B.4. Pretty-Print 证书扩展示例
Data: Version: v3 Serial Number: 0x1 Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5 Issuer: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US Validity: Not Before: Friday, February 21, 2005 12:00:00 AM PST America/Los_Angeles Not After: Monday, February 21, 2007 12:00:00 AM PST America/Los_Angeles Subject: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US Subject Public Key Info: Algorithm: RSA - 1.2.840.113549.1.1.1 Public Key: Exponent: 65537 Public Key Modulus: (2048 bits) : E4:71:2A:CE:E4:24:DC:C4:AB:DF:A3:2E:80:42:0B:D9: CF:90:BE:88:4A:5C:C5:B3:73:BF:49:4D:77:31:8A:88: 15:A7:56:5F:E4:93:68:83:00:BB:4F:C0:47:03:67:F1: 30:79:43:08:1C:28:A8:97:70:40:CA:64:FA:9E:42:DF: 35:3D:0E:75:C6:B9:F2:47:0B:D5:CE:24:DD:0A:F7:84: 4E:FA:16:29:3B:91:D3:EE:24:E9:AF:F6:A1:49:E1:96: 70:DE:6F:B2:BE:3A:07:1A:0B:FD:FE:2F:75:FD:F9:FC: 63:69:36:B6:5B:09:C6:84:92:17:9C:3E:64:C3:C4:C9 Extensions: Identifier: Netscape Certificate Type - 2.16.840.1.113730.1.1 Critical: no Certificate Usage: SSL CA Secure Email CA ObjectSigning CA Identifier: Basic Constraints - 2.5.29.19 Critical: yes Is CA: yes Path Length Constraint: UNLIMITED Identifier: Subject Key Identifier - 2.5.29.14 Critical: no Key Identifier: 3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79: 9C:37:85:84 Identifier: Authority Key Identifier - 2.5.29.35 Critical: no Key Identifier: 3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79: 9C:37:85:84 Identifier: Key Usage: - 2.5.29.15 Critical: yes Key Usage: Digital Signature Key CertSign Crl Sign Signature: Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5 Signature: AA:96:65:3D:10:FA:C7:0B:74:38:2D:93:54:32:C0:5B: 2F:18:93:E9:7C:32:E6:A4:4F:4E:38:93:61:83:3A:6A: A2:11:91:C2:D2:A3:48:07:6C:07:54:A8:B8:42:0E:B4: E4:AE:42:B4:B5:36:24:46:4F:83:61:64:13:69:03:DF: 41:88:0B:CB:39:57:8C:6B:9F:52:7E:26:F9:24:5E:E7: BC:FB:FD:93:13:AF:24:3A:8F:DB:E3:DC:C9:F9:1F:67: A8:BD:0B:95:84:9D:EB:FC:02:95:A0:49:2C:05:D4:B0: 35:EA:A6:80:30:20:FF:B1:85:C8:4B:74:D9:DC:BB:50
B.3.1. authorityInfoAccess
B.3.2. authorityKeyIdentifier
- 在 keyIdentifier 字段中设置的显式键标识符
- 在 authorityCertIssuer 字段中设置签发者,并在 authorityCertSerialNumber 字段中设置,用于标识证书
B.3.3. basicConstraints
OID
2.5.29.19
严重性
PKIX 第 1 部分要求此扩展被标记为 critical。无论其重要程度如何,都会评估此扩展。
B.3.4. certificatePoliciesExt
OID
2.5.29.32
严重性
这个扩展可能至关重要或非关键。
B.3.5. CRLDistributionPoints
OID
2.5.29.31
严重性
PKIX 建议此扩展标记为非关键,并且对所有证书都支持。
B.3.6. extKeyUsage
OID
2.5.29.37
严重性
如果这个扩展被标记为关键,则证书必须仅用于指定目的之一。如果没有标记为关键状态,它将被视为可能用于识别密钥但不会将证书的使用限制到指定目的的公告字段。
使用 | OID |
---|---|
服务器身份验证 | 1.3.6.1.5.5.7.3.1 |
客户端身份验证 | 1.3.6.1.5.5.7.3.2 |
代码签名 | 1.3.6.1.5.5.7.3.3 |
电子邮件 | 1.3.6.1.5.5.7.3.4 |
时间戳 | 1.3.6.1.5.5.7.3.8 |
OCSP 签名 |
1.3.6.1.5.5.7.3.9[a]
|
[a]
PKIX 第 1 部分没有定义 OCSP 签名,而是在 RFC 2560 中定义,X.509 Internet Public Key Infrastructure Online 证书状态协议 - OCSP。
|
使用 | OID |
---|---|
证书信任列表签名 | 1.3.6.1.4.1.311.10.3.1 |
Microsoft Server Gated Crypto (SGC) | 1.3.6.1.4.1.311.10.3.3 |
Microsoft 加密的文件系统 | 1.3.6.1.4.1.311.10.3.4 |
Netscape SGC | 2.16.840.1.113730.4.1 |
B.3.7. issuerAltName 扩展
OID
2.5.29.18
严重性
PKIX 第 1 部分建议将此扩展标记为非关键。
B.3.8. keyUsage
- SSL 客户端证书、S/MIME 签名证书和对象签名证书的 数字签名 (0)。
- 用于某些 S/MIME 签名证书和对象签名证书的 非 验证(1)。WARNING使用这个位是相似的。在为任何证书设置前,请仔细考虑其使用的法律后果。
- 用于 SSL 服务器证书和 S/MIME 加密密钥(2)。
- 当主题的公钥用于加密用户数据而不是密钥材料时,Data Encipherment (3)。
- 当主题的公钥用于 密钥协议时,KeyAgreement (4)。
- KeyCertSign (5)用于所有 CA 签名证书。
- 用于签署 CRL 的 CA 签名证书的 cRLSign (6)。
- encipherOnly (7),如果公钥仅用于加密数据。如果设置了此位,则还应设置 keyAgreement。
- 如果公钥仅用于解码数据,则 decipherOnly (8)。如果设置了此位,则还应设置 keyAgreement。
OID
2.5.29.15
严重性
这个扩展可能至关重要或非关键。PKIX 第 1 部分建议在使用时将其标记为 critical。
证书的目的 | 所需的密钥用法位 |
---|---|
CA 签名 |
|
SSL 客户端 | digitalSignature |
SSL 服务器 | keyEncipherment |
S/MIME 签名 | digitalSignature |
S/MIME 加密 | keyEncipherment |
证书签名请求 | keyCertSign |
对象签名 | digitalSignature |
B.3.9. nameConstraints
OID
2.5.29.30
严重性
PKIX 第 1 部分要求此扩展被标记为 critical。
B.3.10. OCSPNocheck
OID
1.3.6.1.5.5.7.48.4
严重性
这个扩展应该不是关键的。
B.3.11. policyConstraints
OID
2.5.29.36
严重性
这个扩展可能至关重要或非关键。
B.3.12. policyMappings
OID
2.5.29.33
严重性
这个扩展必须是非关键的。
B.3.13. privateKeyUsagePeriod
OID
2.5.29.16
B.3.14. subjectAltName
OID
2.5.29.17
严重性
如果证书的 subject 字段为空,这个扩展必须标记为 critical。
B.3.15. subjectDirectoryAttributes
OID
2.5.29.9
严重性
PKIX 第 1 部分要求此扩展被标记为非关键。
B.3.16. subjectKeyIdentifier
OID
2.5.29.14
严重性
这个扩展始终不是关键的。