版本 3 扩展
X.509 版本 3 证书包含版本 1 和版本 2 中定义的字段,并添加证书扩展。 以下示例显示了证书扩展的 ASN.1 语法。
---------------------------------------------------------------------
-- Extensions (beginning with version 3).
---------------------------------------------------------------------
Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE
{
Id OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
}
下表中列出了标准版本 3 扩展及其对象标识符(OID)。 Microsoft支持这些扩展,并包括其他自定义扩展。 有关详细信息,请参阅 扩展。
| 外延 | 描述 |
|---|---|
| 颁发机构密钥标识符(2.5.29.35) | 标识与用于对证书签名的 CA 私钥对应的证书颁发机构(CA)公钥。 |
| 基本约束(2.5.29.19) | 指定实体是否可以用作 CA,如果是,则指定证书链中可存在的从属 CA 的数量。 |
| 证书策略(2.5.29.32) | 指定颁发证书的策略及其用途。 |
| CRL 分发点(2.5.29.31) | 包含 证书吊销列表(CRL)的 URI。 |
| 增强型密钥用法(2.5.29.46) | 指定可以使用证书中包含的公钥的方式。 |
| 颁发者可选名称(2.5.29.8) | 为证书请求的颁发者指定一个或多个备用名称表单。 |
| 密钥用法(2.5.29.15) | 指定对可由证书中包含的公钥执行的作的限制。 |
| 名称约束(2.5.29.30) | 指定证书层次结构中所有使用者名称必须位于的命名空间。 该扩展仅在 CA 证书中使用。 |
| 策略约束(2.5.29.36) | 通过禁止策略映射或要求层次结构中的每个证书包含可接受的策略标识符来约束路径验证。 该扩展仅在 CA 证书中使用。 |
| 策略映射(2.5.29.33) | 指定与颁发 CA 中的策略对应的从属 CA 中的策略。 |
| 私钥使用周期(2.5.29.16) | 为私钥指定与私钥关联的证书不同的有效期。 |
| 使用者可选名称(2.5.29.17) | 指定证书请求使用者的一个或多个可选名称表单。 示例可选表单包括电子邮件地址、DNS 名称、IP 地址和 URI。 |
| 使用者目录属性(2.5.29.9) | 传达标识属性,例如证书使用者的国籍。 扩展值是 OID 值对的序列。 |
| 使用者密钥标识符(2.5.29.14) | 区分证书使用者持有的多个公钥。 扩展值通常是键的 SHA-1 哈希。 |