主页
产品
Red Hat Certificate System
9
管理指南
B.3. 标准 X.509 v3 证书扩展参考

B.3. 标准 X.509 v3 证书扩展参考

X.509 v3 证书包含一个扩展字段，允许向证书中添加任意数量的附加字段。证书扩展提供了向证书添加信息（如替代主题名称和使用量限制）的方法。旧版 Netscape 服务器，如 Red Hat Directory Server and Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System，在 PKIX 部分定义 1 标准之前已定义了特定于 Netscape 的扩展。

以下是包含 X.509 v3 扩展的证书的部分示例。CertificateCertificate Systemnbsp;System 可以以可读用户打印格式显示证书，如下所示。如本例中，证书扩展出现在序列中，且每个证书只能有一个特定扩展实例；例如，证书只能包含一个主题密钥标识符扩展。支持这些扩展的证书有版本 0x2 （对应于版本 3）。

例 B.4. Pretty-Print Certificate Extensions 示例

Data:
  Version:  v3
  Serial Number: 0x1
  Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
  Issuer: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US
  Validity:
    Not Before: Friday, February 21, 2005 12:00:00 AM PST America/Los_Angeles
    Not  After: Monday, February 21, 2007 12:00:00 AM PST America/Los_Angeles
  Subject: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US
  Subject Public Key Info:
    Algorithm: RSA - 1.2.840.113549.1.1.1
    Public Key:
      Exponent: 65537
      Public Key Modulus: (2048 bits) :
        E4:71:2A:CE:E4:24:DC:C4:AB:DF:A3:2E:80:42:0B:D9:
        CF:90:BE:88:4A:5C:C5:B3:73:BF:49:4D:77:31:8A:88:
        15:A7:56:5F:E4:93:68:83:00:BB:4F:C0:47:03:67:F1:
        30:79:43:08:1C:28:A8:97:70:40:CA:64:FA:9E:42:DF:
        35:3D:0E:75:C6:B9:F2:47:0B:D5:CE:24:DD:0A:F7:84:
        4E:FA:16:29:3B:91:D3:EE:24:E9:AF:F6:A1:49:E1:96:
        70:DE:6F:B2:BE:3A:07:1A:0B:FD:FE:2F:75:FD:F9:FC:
        63:69:36:B6:5B:09:C6:84:92:17:9C:3E:64:C3:C4:C9
  Extensions:
    Identifier: Netscape Certificate Type - 2.16.840.1.113730.1.1
      Critical: no
      Certificate Usage:
        SSL CA
        Secure Email CA
        ObjectSigning CA
    Identifier: Basic Constraints - 2.5.29.19
      Critical: yes
      Is CA: yes
      Path Length Constraint: UNLIMITED
    Identifier: Subject Key Identifier - 2.5.29.14
      Critical: no
      Key Identifier:
        3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79:
        9C:37:85:84
    Identifier: Authority Key Identifier - 2.5.29.35
      Critical: no
      Key Identifier:
        3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79:
        9C:37:85:84
    Identifier: Key Usage: - 2.5.29.15
      Critical: yes
      Key Usage:
        Digital Signature
        Key CertSign
        Crl Sign
  Signature:
    Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
    Signature:
      AA:96:65:3D:10:FA:C7:0B:74:38:2D:93:54:32:C0:5B:
      2F:18:93:E9:7C:32:E6:A4:4F:4E:38:93:61:83:3A:6A:
      A2:11:91:C2:D2:A3:48:07:6C:07:54:A8:B8:42:0E:B4:
      E4:AE:42:B4:B5:36:24:46:4F:83:61:64:13:69:03:DF:
      41:88:0B:CB:39:57:8C:6B:9F:52:7E:26:F9:24:5E:E7:
      BC:FB:FD:93:13:AF:24:3A:8F:DB:E3:DC:C9:F9:1F:67:
      A8:BD:0B:95:84:9D:EB:FC:02:95:A0:49:2C:05:D4:B0:
      35:EA:A6:80:30:20:FF:B1:85:C8:4B:74:D9:DC:BB:50

Data:
  Version:  v3
  Serial Number: 0x1
  Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
  Issuer: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US
  Validity:
    Not Before: Friday, February 21, 2005 12:00:00 AM PST America/Los_Angeles
    Not  After: Monday, February 21, 2007 12:00:00 AM PST America/Los_Angeles
  Subject: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US
  Subject Public Key Info:
    Algorithm: RSA - 1.2.840.113549.1.1.1
    Public Key:
      Exponent: 65537
      Public Key Modulus: (2048 bits) :
        E4:71:2A:CE:E4:24:DC:C4:AB:DF:A3:2E:80:42:0B:D9:
        CF:90:BE:88:4A:5C:C5:B3:73:BF:49:4D:77:31:8A:88:
        15:A7:56:5F:E4:93:68:83:00:BB:4F:C0:47:03:67:F1:
        30:79:43:08:1C:28:A8:97:70:40:CA:64:FA:9E:42:DF:
        35:3D:0E:75:C6:B9:F2:47:0B:D5:CE:24:DD:0A:F7:84:
        4E:FA:16:29:3B:91:D3:EE:24:E9:AF:F6:A1:49:E1:96:
        70:DE:6F:B2:BE:3A:07:1A:0B:FD:FE:2F:75:FD:F9:FC:
        63:69:36:B6:5B:09:C6:84:92:17:9C:3E:64:C3:C4:C9
  Extensions:
    Identifier: Netscape Certificate Type - 2.16.840.1.113730.1.1
      Critical: no
      Certificate Usage:
        SSL CA
        Secure Email CA
        ObjectSigning CA
    Identifier: Basic Constraints - 2.5.29.19
      Critical: yes
      Is CA: yes
      Path Length Constraint: UNLIMITED
    Identifier: Subject Key Identifier - 2.5.29.14
      Critical: no
      Key Identifier:
        3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79:
        9C:37:85:84
    Identifier: Authority Key Identifier - 2.5.29.35
      Critical: no
      Key Identifier:
        3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79:
        9C:37:85:84
    Identifier: Key Usage: - 2.5.29.15
      Critical: yes
      Key Usage:
        Digital Signature
        Key CertSign
        Crl Sign
  Signature:
    Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
    Signature:
      AA:96:65:3D:10:FA:C7:0B:74:38:2D:93:54:32:C0:5B:
      2F:18:93:E9:7C:32:E6:A4:4F:4E:38:93:61:83:3A:6A:
      A2:11:91:C2:D2:A3:48:07:6C:07:54:A8:B8:42:0E:B4:
      E4:AE:42:B4:B5:36:24:46:4F:83:61:64:13:69:03:DF:
      41:88:0B:CB:39:57:8C:6B:9F:52:7E:26:F9:24:5E:E7:
      BC:FB:FD:93:13:AF:24:3A:8F:DB:E3:DC:C9:F9:1F:67:
      A8:BD:0B:95:84:9D:EB:FC:02:95:A0:49:2C:05:D4:B0:
      35:EA:A6:80:30:20:FF:B1:85:C8:4B:74:D9:DC:BB:50

Copy to Clipboard

Toggle word wrap

对象标识符 (OID)是识别唯一对象（如证书扩展名或公司证书实践声明）的数字字符串。CertificateCertificate Systemnbsp;System 附带一组特定于扩展的配置集插件模块，该模块使 X.509 证书扩展添加到服务器问题中。有些扩展包含用来指定 OID 的字段。

PKIX 标准建议所有对象（如扩展和语句）以 OID 的形式包含在证书中。这促进了共享网络上的机构之间的互操作性。如果将发布在共享网络上使用的证书，请将 OID 前缀注册到适当的注册机构。

OID 由国际标准机构(ISO)注册机构控制。在某些情况下，此授权由 ISO 委派给区域注册机构。美国美国国家标准研究所(ANSI)管理此注册。

使用注册到另一个机构或无法注册 OID 的 OID 可能会发生法律后果，具体取决于情况。注册可能取决于费用。如需更多信息，请联系相应的注册机构。

要为自定义对象定义或分配 OID，请知道公司的 arc，这是私有企业的 OID。如果公司没有rc，则需要获得一项。http://www.alvestrand.no/objectid/ 包含有关注册和使用 OID 的更多信息。

例如，名为 Netscape Certificate Comment 的扩展 Netscape-defined OID 为 2.16.840.1.113730.1.13。为这个扩展分配的 OID 是分级的，包括前一个 Netscape company arc 2.16.840.1。OID 定义条目是 http://www.alvestrand.no/objectid/2.16.840.1.113730.1.13.html。

如果证书中存在 OID 扩展并标记为关键，则验证证书的应用程序必须能够解释该扩展，包括任何可选的限定符，或者它必须拒绝该证书。由于所有应用程序都不太可能解释以 OID 格式嵌入的公司的自定义扩展，因此 PKIX 标准建议扩展始终标记为非关键。

本节总结了定义为互联网 X.509 版本 3 标准的一部分定义的扩展类型，并指示 PKIX 工作组推荐的类型。

本参考总结了有关每个证书的重要信息。有关完整详情，请参阅来自 ITU 的 X.509 v3 标准，以及 互联网 X.509 公共密钥基础架构 - 证书和密钥配置文件(RFC 3 280)，请访问 RFC 3280。扩展描述引用标准草案的 RFC 和部分号，还会为每个扩展提供对象标识符(OID)。

证书中的每个扩展都可以指定为关键或非关键。使用证书系统（如 Web 浏览器）时，如果证书遇到无法识别的关键扩展，则必须拒绝证书。但是，如果无法识别，将无法忽略非关键扩展名。

B.3.1. authorityInfoAccess
复制链接

授权信息访问扩展指示了如何和在哪里访问证书签发者的信息。该扩展包含一个 accessMethod 和 accessLocation 字段。accessMethod 由 OID 指定，在 accessLocation 中有关 named 签发者的信息的类型和格式。

PKIX 第 1 部分定义一个 accessMethod (id-ad-caIssuers)的列表，以获取 CA 链中签发的证书列表，超过使用扩展名的证书。accessLocation 字段随后通常包含一个 URL，表示用于检索列表的位置和协议（LDAP、HTTP 或者 FTP）。

Online Certificate Status Protocol(RFC 2560)，在 RFC 2560 上提供，定义一个 accessMethod (id-ad-ocsp)来使用 OCSP 来验证证书。accessLocation 字段随后包含一个 URL，表示用于访问能够验证证书的 OCSP 响应者的位置和协议。

OID

1.3.6.1.5.5.7.1.1

严重程度

这个扩展必须是非关键。

返回顶部

B.3. 标准 X.509 v3 证书扩展参考

B.3.1. authorityInfoAccess
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

B.3. 标准 X.509 v3 证书扩展参考

B.3.1. authorityInfoAccess复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

B.3.1. authorityInfoAccess
复制链接