B.3.2. authorityKeyIdentifier
Authority Key Identifier 扩展标识与用于为证书签名的私钥对应的公钥。当签发者有多个签名密钥时,这个扩展很有用,比如当 CA 证书被续订时。
扩展由以下之一或两个组成:
- 一个显式键标识符,在 keyIdentifier 字段中设置
- 在 authorityCertIssuer 字段和序列号中设置的签发者,在 authorityCertSerialNumber 字段中设置,标识证书
如果 keyIdentifier 字段存在,它将用来选择具有匹配 subjectKeyIdentifier 扩展名的证书。如果 颁发机构CertIssuer 和 authorityCertSerialNumber 字段存在,则会使用它们通过 签发者 和 serialNumber 来识别正确的证书。
如果这个扩展不存在,则单独使用签发者名称来识别签发者证书。
PKIX 第 1 部分要求除自签名 root CA 证书外的所有证书都必须此扩展。如果尚未建立密钥标识符,PKIX 建议需要指定 授权CertIssuer 和 authorityCertSerialNumber 字段。这些字段允许构建完整的证书链,方法是与主题证书中的 SubjectName 和 Certificate Ser 和 CertificateSers suer 和 authorityCertSer 标识符扩展中的授权认证链匹配。
