这两个动作似乎是一样的:
- 在X.509证书中使用基本约束扩展来表示它是CA证书和
- 使用密钥使用扩展名,例如表示公钥可以用于证书签名。
这些扩展有什么区别?
它们是服务于相同的目的还是相互补充?
Key Usage"定义可以对证书中包含的密钥执行什么操作。使用示例包括:加密、签名、签名证书、签名crl。
"基本Constraints"标识证书的主题是否为允许颁发子证书的CA。
对于可用于签署证书的证书,信息在某种意义上是重复的:
- X509v3基本约束:CA: TRUE——可以签署证书
- X509v3密钥用法:密钥证书签名——可以签署证书
But"基本约束";还将指定有效认证链的最大深度。
虽然它是重复的,但根据RFC 3280—X.509,您需要指定两个。这是RFC(第29页)的相关段落:
keyCertSign位在主题公钥为时被断言用于验证公钥证书的签名。如果断言keyCertSign位,则基本的cA位约束扩展(章节4.2.1.10)也必须被断言。
Key Usage描述证书的预期用途。
基本约束扩展描述了以证书为顶部的证书链可以有多深。换句话说,当颁发子ca证书时,ca使用此扩展来限制其子ca的活动。如果顶级CA获得了子CA,它允许子CA颁发最终用户证书,但不允许子CA拥有自己的子CA。