B.3.6. extKeyUsage

Extended Key Usage 扩展指示可以使用认证公钥的用途。这些用途可能还适用于或代替 Key Usage 扩展中指示的基本目的。

Extended Key Usage 扩展必须包含 OCSP 签名 在 OCSP 响应者证书中，除非对响应者验证的证书的 CA 签名密钥也是 OCSP 签名密钥。OCSP 响应者的证书必须由 CA 直接签发响应程序将验证的证书。

密钥使用、扩展密钥用法和 Basic Constraints 扩展一起定义要使用的证书的用途。应用程序可以使用这些扩展来禁止在不当上下文中使用证书。

OID

2.5.29.37

严重程度

如果此扩展标记为关键，则必须将证书用于指定的用途之一。如果它没有标记为关键，它将被当作公告字段来识别密钥，但不会限制证书对指定用途的使用。

Expand

表 B.36. PKIX 扩展密钥使用扩展使用
使用	OID
服务器身份验证	1.3.6.1.5.5.7.3.1
客户端身份验证	1.3.6.1.5.5.7.3.2
代码签名	1.3.6.1.5.5.7.3.3
电子邮件	1.3.6.1.5.5.7.3.4
时间戳	1.3.6.1.5.5.7.3.8
OCSP 签名	1.3.6.1.5.5.7.3.9^[a]
^[a] OCSP Signing 在 PKIX 第 1 部分定义，但在 RFC 2560 中，X.509 互联网公共密钥基础架构在线证书状态协议 - OCSP。

Expand

表 B.37. 私有密钥使用扩展使用
使用	OID
证书信任列表签名	1.3.6.1.4.1.311.10.3.1
Microsoft Server Gated Crypto(SGC)	1.3.6.1.4.1.311.10.3.3
Microsoft 加密的文件系统	1.3.6.1.4.1.311.10.3.4
Netscape SGC	2.16.840.1.113730.4.1