Sự khác nhau giữa các phần mở rộng x.509 V3 Các ràng buộc cơ bản và sử dụng khóa để tạo chứng chỉ CA là gì?

Question

Hai hành động dường như làm như vậy:

• sử dụng mở rộng hạn chế cơ bản trong một chứng chỉ X.509 để biểu thị rằng nó là một chứng chỉ CA và
• sử dụng Key mở rộng Cách sử dụng ví dụ để biểu thị rằng khóa công khai có thể được sử dụng để đăng nhập chứng chỉ.

Sự khác nhau giữa các tiện ích mở rộng này là gì?
Chúng có phục vụ cùng một mục đích hoặc bổ sung cho nhau không?

Answer 1

"Sử dụng khóa" xác định những gì có thể được thực hiện bằng khóa có trong chứng chỉ. Ví dụ về cách sử dụng là: mã hóa, chữ ký, chứng chỉ ký, ký CRL.

"Ràng buộc cơ bản" xác định xem chủ đề của chứng chỉ có phải là CA được phép cấp chứng chỉ con hay không.

Đối với một giấy chứng nhận có thể được sử dụng để ký giấy chứng nhận, các thông tin là trong một ý nghĩa nhân đôi: Những hạn chế

• X509v3 cơ bản: CA: TRUE --- có thể đăng ký giấy chứng nhận
• X509v3 Cách sử dụng chính: Biển báo chứng nhận khóa --- Có thể ký giấy chứng nhận

Nhưng "Hạn chế cơ bản" cũng sẽ chỉ định độ sâu tối đa của chuỗi chứng nhận hợp lệ.

Mặc dù bị trùng lặp, bạn cần chỉ định cả hai, theo RFC 3280 --- X.509. Đây là đoạn có liên quan từ các RFC (trang 29):

Bit keyCertSign được khẳng định khi đề tài khóa công khai là sử dụng để xác thực chữ ký trên giấy chứng nhận khóa công khai. Nếu các bit CertSign bit được khẳng định, sau đó bit cA trong phần mở rộng cơ bản ràng buộc (phần 4.2.1.10) PHẢI cũng được khẳng định.

Answer 2

Cách sử dụng chính mô tả mục đích dự định của chứng chỉ.

Mở rộng Hạn chế cơ bản mô tả mức độ sâu chuỗi chứng chỉ có chứng chỉ như trên cùng có thể. Nói cách khác, phần mở rộng này được sử dụng bởi CA để hạn chế hoạt động của các CA con của chúng khi chứng chỉ phụ CA được cấp. Nếu toplevel CA nhận được một sub-CA, nó cho phép sub-CA cấp chứng chỉ người dùng cuối, nhưng không cho phép sub-CA có các sub-CA riêng của nó.