第3版擴充功能
X.509 第 3 版憑證包含第 1 版和第 2 版中所定義的欄位,並新增憑證延伸模組。 下列範例顯示憑證延伸模組的 ASN.1 語法。
---------------------------------------------------------------------
-- Extensions (beginning with version 3).
---------------------------------------------------------------------
Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE
{
Id OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
}
下表列出標準第 3 版延伸模組及其物件識別碼(OID)。 Microsoft 支援這些,並包含其他自定義擴充功能。 如需詳細資訊,請參閱 延伸模組。
| 副檔名 | 描述 |
|---|---|
| 授權金鑰識別碼(2.5.29.35) | 識別與用來簽署憑證的 CA 私鑰對應的證書頒發機構單位 (CA) 公鑰。 |
| 基本條件約束(2.5.29.19) | 指定實體是否可以當做 CA 使用,如果是的話,該實體在憑證鏈結中可以存在的次級 CA 數目。 |
| 憑證原則(2.5.29.32) | 指定已發行憑證的原則,以及可使用憑證的目的。 |
| CRL 發佈點(2.5.29.31) | 包含基底 證書吊銷清單 (CRL) 的 URI。 |
| 增強金鑰使用方式(2.5.29.46) | 指定可以使用憑證中包含的公鑰的方式。 |
| 簽發者別名(2.5.29.8) | 指定憑證要求簽發者的一或多個替代名稱表單。 |
| 金鑰使用方式(2.5.29.15) | 指定憑證中包含的公鑰可執行之作業的限制。 |
| 名稱條件約束(2.5.29.30) | 指定憑證階層中所有主體名稱必須位於其中的命名空間。 延伸模組只會在 CA 憑證中使用。 |
| 原則限制(2.5.29.36) | 藉由禁止原則對應或要求階層中的每個憑證包含可接受的原則標識碼,來限制路徑驗證。 延伸模組只會在 CA 憑證中使用。 |
| 原則對應(2.5.29.33) | 指定次級 CA 中對應至發行 CA 中原則的原則。 |
| 私密金鑰使用期間(2.5.29.16) | 針對私鑰指定與與私鑰相關聯之憑證不同的有效期間。 |
| 主體別名(2.5.29.17) | 指定憑證要求主體的一或多個替代名稱表單。 範例替代表單包括電子郵件位址、DNS 名稱、IP 位址和 URI。 |
| 主旨目錄屬性(2.5.29.9) | 傳達識別屬性,例如憑證主體的國籍。 擴充值是 OID 值組的序列。 |
| 主體金鑰標識碼(2.5.29.14) | 區分憑證主體持有的多個公鑰。 擴充值通常是索引鍵的SHA-1哈希。 |