x509证书V3扩展

2023-04-16 11:39:27 +08:00

字数统计: 1k | 阅读时长≈ 3 分钟

扩展名

SubjectKeyIdentifier
KeyUsage
PrivateKeyUsage
SubjectAlternativeName
IssuerAlternativeName
BasicConstraints
NameConstraints
PolicyMappings
AuthorityKeyIdentifier
PolicyConstraints

扩展的分类：

标准扩展：这些是由X509证书标准定义的扩展。
非标准扩展：这些是由证书颁发机构或其他实体定义的扩展。

扩展的优势

提供额外的信息和功能：扩展可以提供有关证书的附加信息，例如证书策略、键用法、扩展密钥用法等。
提高安全性：某些扩展可以提高证书的安全性，例如OCSP Must-Staple扩展可以确保在连接过程中使用证书的状态信息。
提高可用性：某些扩展可以提高证书的可用性，例如Subject Alternative Name扩展可以指定多个主题备选名称。

扩展的应用场景

身份验证：扩展可以用于验证证书的身份，例如通过Subject Alternative Name扩展指定主题备选名称。
键用法：扩展可以指定证书的键用法，例如数字签名、密钥加密等。
扩展密钥用法：扩展可以指定证书的扩展密钥用法，例如TLS Web服务器身份验证、TLS Web客户端身份验证等。

密钥用法`keyUsage`

keyUsage的配置	实际证书中的呈现	说明	备注
digitalSignature	Digital Signature	数字签名	表示证书拥有者可以用其私钥对数据进行数字签名。
nonRepudiation	Non Repudiation	不可否认	表示证书拥有者无法否认其对数据进行数字签名的行为。
keyEncipherment	Key Encipherment	密钥加密	表示证书拥有者可以使用其公钥对密钥进行加密。
dataEncipherment	Data Encipherment	数据加密	表示证书拥有者可以使用其公钥对数据进行加密。
keyAgreement	Key Agreement	密钥协商	表示证书拥有者可以使用其私钥进行密钥协商，以便与其他实体建立共享密钥。
keyCertSign	Certificate Sign	证书签名	表示证书拥有者可以使用其私钥对其他证书进行签名，以确认其有效性。
cRLSign	CRL Sign	证书吊销列表签名	表示证书拥有者可以使用其私钥对证书吊销列表进行签名，以确认证书的吊销状态。
encipherOnly	Encipher Only	仅加密	表示证书拥有者只能用其公钥对数据进行加密，而不能对其进行解密。
decipherOnly	Decipher Only	仅解密	表示证书拥有者只能用其私钥对数据进行解密，而不能对其进行加密。

增强型密钥用法`extendedKeyUsage`

extendedKeyUsage	说明	备注
serverAuth	服务器身份验证	该证书可以用于验证服务器的身份
clientAuth	客户端身份验证	该证书可以用于验证客户端的身份
emailProtection	安全电子邮件	该证书可以用于保护电子邮件的安全性
timeStamping	时间戳	该证书可以用于生成时间戳，用于证明特定时间点的文件的存在或状态
codeSigning	代码签名	该证书可以用于对软件代码进行数字签名，以验证代码的完整性和来源
msEFS	Microsoft加密文件系统	该证书可以用于支持Microsoft加密文件系统的安全操作
ipsecTunnel	IIPSec隧道	该证书可以用于IPSec隧道连接的身份验证和密钥交换
ipsecUser	IP 安全用户	该证书可以用于IPSec用户的身份验证和密钥交换
OCSPSigning	OCSP 签名	该证书可以用于对在线证书状态协议（OCSP）响应进行签名，以验证证书的有效性

基本约束

basicConstraints	对应
CA:true	Subject Type=CA
CA:FALSE	Subject Type=End Entity
pathlen:0	Path Length Constraint=0

# CA basicConstraints = CA:true
# 中间 CA basicConstraints = CA:true, pathlen:0
# 非 CA basicConstraints = CA:FALSE

Netscape Cert Type

nsCertType	对应
client	SSL 客户端身份验证
server	SSL 服务器身份验证
email	SMIME
objsign	签名
sslCA	SSL CA
emailCA	SMIME CA
objCA	签名 CA

nsComment

自定义想显示的类容

......
[ v3_ext ]
......
nsComment               = "你想显示的内容"
......

打赏

版权声明： 本博客所有文章除特别声明外，著作权归作者所有。转载请注明出处！