Notes
  • 简介
  • Linux
    • Ubuntu
      • Ubuntu 20.04 ARM64 修改PAGE_SIZE 64k
    • Samba
      • CentOS7安装Samba
      • 简单案例
      • 审计
      • 相关命令
    • Systemd
    • FPM 打包 nginx rpm 包
    • rpm 打包-从二进制文件进行打包
    • Centos7 重置密码
    • CentOS7搭建kvm并创建虚拟机
    • CentOS7-KVM 嵌套虚拟化
    • CentOS7 KVM GPU 穿透
    • Bonding
    • CentOS7 发送邮件
    • CentOS7 安装 OpenVPN
    • Linux 多线路由策略
    • Webmin 安装
    • NoVNC 安装
    • SRS-RTMP 服务部署
    • CentOS7 安装 MongoDB
    • confluence 安装
    • jira 安装
    • crowd 安装
    • ScriptRunner For Jira
    • ScriptRunner For Confluence
    • Ubuntu VNC
    • Ubuntu18.04-VNC 安装
    • deb 打包
    • iptables
    • debian 保持软件包一致
    • Ubuntu18.04 编译安装 grpc
    • CentOS7 安装 odoo13
    • Pacemaker 入门
    • Firewalld Rich Language
    • PHP Xdebug
    • CentOS7.3 编译安装 Python3.6
    • 葫芦儿打包
    • CentOS7 安装 Tomcat8
    • CentOS7 安装 JDK
    • GuacamoleServer 编译安装
    • FreeBSD7.0安装AMP
    • CentOS7 换源
    • deb下载并离线安装
    • pip下载并离线安装
  • Network
    • 案例一
  • AI
    • 微调Qwen2.5
    • Qwen2.5 VL AWQ量化
    • qwen2.5 填充权重
  • JavaScript
  • Zabbix
    • CentOS7 安装 Zabbix4.0 LTS
    • Zabbix 加密连接
    • Zabbix 主动和被动模式
    • Zabbix 配置邮件报警
    • Zabbix 监控 MySQL
  • 数据库
    • MySQL
      • CentOS7 Install MySQL5.7
      • MySql 主从配置
      • CentOS7 安装 Percona XtraDB Cluster
      • MySql 压力测试-sysbench
      • MariaDB Galera Cluster
      • 备份脚本
    • MongoDB
      • 启用账号密码登录
      • 备份脚本
  • Nginx
    • CentOS7 安装 Nginx
    • Nginx 配置
    • nginx-http-flv-module
    • Nginx-WebDAV
  • Docker
    • CentOS7 安装 Docker
    • Dockerfile
    • DockerSwarm 集群
    • Docker 安装 guacamole
  • Python
    • 虚拟环境
  • Windows
    • Windows 问题集合
    • 迅雷自动安装 Chrome 插件
    • RDP 注册表
    • Rdp File Setting
    • 本地组策略对象(LGPO)工具
    • 禁用应用联网
    • SQL Server 问题处理
    • SQL Server Trigger
    • NSIS 脚本
    • 使用QEMU运行ARM64 CentOS7
    • DOS 脚本
    • Windows 11 设置旧版右键菜单
    • 远程桌面二次验证
  • Apple
    • AppStore 应用开发及上架
    • Apple 打包 Golang WebDav 制作 pkg 安装包
  • Android
    • Android Studio创建具有root权限的虚拟机
    • Android读写挂载system
    • Android安卓CA至系统
  • 证书
    • 证书名称(主题)
    • 证书扩展
    • SSL 自签
    • 免费 https 证书申请
  • 树莓派
    • 树莓派系统烧录及系统打包制作
    • 树莓派基础操作
    • 树莓派安装 NextCloud
    • 树莓派安装 LNMP
    • 树莓派自定义开机界面和登录提示
    • 树莓派安装 HomeAssistant
    • HomeAssistant 配置
    • 树莓派自动挂载 U 盘
    • 树莓派安装 vsftpd
    • vsftpd 配置文件详解
  • ceph
    • ceph-deploy 部署 ceph nautilus 版本
    • ceph dashboard
  • OpenStack
    • OpenStack VM 配置 Virtual IP
    • OpenStack Glance 对接 Ceph RBD 存储
    • OpenStack Cinder Volumes 对接 Ceph RBD 存储
    • OpenStack 集群搭建
    • OpenStack Rocky 单节点部署
    • OpenStack Rocky 集群部署
    • OpenStack CentOS6 镜像制作
    • OpenStack-Ubuntu 镜像制作
    • Openstack-Windows 镜像制作
    • OpenStack-RBD 导入镜像
    • OpenStack-Rocky 灾备
    • rbd-mirror
  • FFmpeg
    • CentOS7 静态编译FFmpeg
    • MacOS10.12静态编译FFmpeg
    • CentOS7 Arm64静态编译FFmpeg
    • 使用NVIDIA显卡
    • 脚本
  • Other
    • 华为一碰传标签制作
    • 常用软件
    • wireguard
由 GitBook 提供支持
在本页
  • Basic Constraints
  • Subject Key Identifier 与 Subject Key Identifier
  • Key Usage
  • Extended Key Usage
  • Subject Alternative Name
  • Authority Info Access
  • CRL distribution points
  • Certificate Policies
  • 参考
  1. 证书

证书扩展

上一页证书名称(主题)下一页SSL 自签

最后更新于2年前

Basic Constraints

基本约束,表示一个证书是否是CA证书

Path Length Constraint 表示CA可签署的子CA层级数,默认None表示没有限制

示例1

示例2

openssl config

# 不是CA
basicConstraints = CA:FALSE
# 是 CA
basicConstraints = CA:TRUE
# 是CA并且可签署子CA层级1
basicConstraints = critical, CA:TRUE, pathlen:1

Subject Key Identifier 与 Subject Key Identifier

Subject Key Identifier

使用者密钥标识符,由证书的公钥hash计算而来

Authority Key Identifier

授权密钥标识符,上级CA的Subject Key Identifier

关系示例图

openssl config

# Subject Key Identifier
subjectKeyIdentifier = hash

# Authority Key Identifier
## keyid 尝试从颁发者证书复制使用者密钥标识符SKI
## issuer 当keyid 不存在 或者 使用always 属性,则会从颁发者证书复制颁发者 DN 和序列号
authorityKeyIdentifier = keyid, issuer
authorityKeyIdentifier = keyid, issuer:always

Key Usage

密钥用法

Name
openssl
Description

Digital signature

digitalSignature

当公钥与数字签名机制一起使用以支持Non-repudiation、Certificate signing 和 CRL signing以外的安全服务时使用。 数字签名常用于实体认证和数据来源的完整性认证。

Non-repudiation

nonRepudiation

当公用钥匙被用来验证用于提供不可抵赖服务的数字签名时使用。不可否认性可防止签署实体错误地否认某些行动(不包括证书或CRL签署)。

Key encipherment

keyEncipherment

当证书将与加密密钥的协议一起使用时使用。一个例子是S/MIME封装,其中使用证书中的公钥对快速(对称)密钥进行加密。SSL协议还执行密钥加密。

Data encipherment

dataEncipherment

当公钥用于加密用户数据(加密密钥除外)时使用。

Key agreement

keyAgreement

当公钥的发送方和接收方需要在不使用加密的情况下派生密钥时使用。然后,该密钥可以用于加密发送方和接收方之间的消息。密钥协商通常与Diffie-Hellman密码一起使用。

Certificate signing

keyCertSign

当主题公钥用于验证证书上的签名时使用。此扩展只能在CA证书中使用。

CRL signing

cRLSign

当主题公钥用于验证吊销信息(如CRL)上的签名时使用。

Encipher only

encipherOnly

仅在同时启用密钥协议时使用。这使得公钥仅用于在执行密钥协商时对数据进行加密。

Decipher only

decipherOnly

仅在同时启用密钥协议时使用。这使得公钥仅用于在执行密钥协商时解密数据。

openssl config

可选择 digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign, encipherOnly, and decipherOnly

keyUsage = digitalSignature, nonRepudiation
keyUsage = critical, keyCertSign

Extended Key Usage

增强型密钥用法

Name
openssl
依赖的Key Usage

SSL/TLS WWW Server Authentication

serverAuth

  • Digital signature

  • Key encipherment or Key agreement

SSL/TLS WWW Client Authentication

clientAuth

  • Digital signature or Key agreement

Code Signing

codeSigning

  • Digital signature

E-mail Protection (S/MIME)

emailProtection

Trusted Timestamping

timeStamping

OCSP Signing

OCSPSigning

ipsec Internet Key Exchange

ipsecIKE

Microsoft Individual Code Signing (authenticode)

msCodeInd

Microsoft Commercial Code Signing (authenticode)

msCodeCom

Microsoft Trust List Signing

msCTLSign

Microsoft Encrypted File System

msEFS

openssl

extendedKeyUsage = critical, codeSigning, 1.2.3.4

extendedKeyUsage = serverAuth, clientAuth

Subject Alternative Name

使用者可选名称

type
描述

email

邮件地址

URI

DNS

域名

RID

a registered ID: OBJECT IDENTIFIER

IP

ip地址

dirName

otherName

openssl

subjectAltName = email:copy, email:my@example.com, URI:http://my.example.com/

subjectAltName = IP:192.168.7.1

subjectAltName = IP:13::17

subjectAltName = email:my@example.com, RID:1.2.3.4

subjectAltName = otherName:1.2.3.4;UTF8:some other identifier

subjectAltName = DNS:www.zhxlp.com,DNS:*.zhxlp.com,IP:192.168.1.1

[extensions]
subjectAltName = dirName:dir_sect

[dir_sect]
C = UK
O = My Organization
OU = My Unit
CN = My Name

Authority Info Access

授权信息访问

type
描述
OID

OCSP

联机证书状态协议

1.3.6.1.5.5.7.48.1

caIssuers

证书颁发机构颁发者

1.3.6.1.5.5.7.48.2

ad_timestamping

AD_DVCS

caRepository

openssl config

authorityInfoAccess = OCSP;URI:http://ocsp.example.com/,caIssuers;URI:http://myca.example.com/ca.cer

authorityInfoAccess = OCSP;URI:http://ocsp.example.com/

authorityInfoAccess = caIssuers;URI:http://myca.example.com/ca.cer

CRL distribution points

CRL分发点

openssl config

crlDistributionPoints = URI:http://example.com/myca.crl

crlDistributionPoints = URI:http://example.com/myca.crl, URI:http://example.org/my.crl

Certificate Policies

证书策略

OID
描述

2.23.140.1.2.1

DV

2.23.140.1.2.2

OV

2.23.140.1.2.3

IV

2.23.140.1.1

EV

2.23.140.1.3

EV代码签名

2.23.140.1.4.1

非 EV 代码签名

openssl config

certificatePolicies = 1.2.4.5, 1.1.3.4

参考

/docs/man3.0/man5/x509v3_config.html
Logo
PKI - Basic Constraint Extension