"Key Usage" określa, co można zrobić za pomocą klucza zawartego w certyfikacie. Przykładami użycia są: szyfrowanie, podpis, podpisywanie certyfikatów, podpisywanie list CRL.
"Podstawowe ograniczenia" określa, czy podmiotem certyfikatów jest urząd certyfikacji, który może wydawać certyfikaty podrzędne.
W przypadku certyfikatu, który może być używany do podpisywania certyfikatów, informacja jest w pewnym sensie powielona:
- X509v3 podstawowe ograniczenia: CA: TRUE --- Czy podpisywania świadectw
- X509v3 Key Usage: Key Cert Sign --- Może podpisać certyfikaty
Ale "Basic Constraints" określi również maksymalną głębokość aktualnego łańcucha certyfikacji.
Chociaż jest powielony, należy podać oba, zgodnie z RFC 3280 --- X.509. Jest to istotne ustęp z RFC (strona 29):
keyCertSign nieco twierdzili, kiedy klucz publiczny przedmiotem jest wykorzystywane do weryfikacji podpisu na certyfikatów klucza publicznego. Jeśli zostanie podany bit keyCertSign , to również bit CA w podstawowym rozszerzeniu ograniczeń (sekcja 4.2.1.10) MUSI być również zapewniony.
Czy Twoje pytanie zostało rozwiązane? Następnie zaakceptuj najlepszą odpowiedź. W innym przypadku proszę wspomnieć o tym, czego tu jeszcze brakuje. –