B.3.6. extKeyUsage
Extended Key Usage 拡張機能は、認証された公開キーを使用できる目的を示します。これらの目的は、Key Usage 拡張機能に示されている基本的な目的に加えてまたはその代わりになる場合があります。
Extended Key Usage 拡張機能には、レスポンダーによって検証された証明書に署名した CA 署名キーが OCS P 署名キーでもない限り、OCSP レスポンダーの証明書内の OCSP Signing が含まれる必要があります。OCSP レスポンダーの証明書は、レスポンダーが検証する証明書に署名する CA によって直接発行される必要があります。
Key Usage、Extended Key Usage、および Basic Constraints 拡張機能は連携して機能し、証明書の使用目的を定義します。アプリケーションはこれらの拡張機能を使用して、不適切なコンテキストでの証明書の使用を禁止できます。
表B.36「PKIX Extended Key Usage Extension の使用」 は、この拡張機能に対して PKIX によって定義された用途を一覧表示します。表B.37「Private Extended Key Usage Extension の使用」 は、Netscape によって非公開で定義されたものを使用します。
OID
2.5.29.37
Criticality
この拡張機能がクリティカルとマークされている場合、証明書は指定された目的の 1 つにのみ使用する必要があります。クリティカルとマークされていない場合は、キーを識別するために使用できるアドバイザリーフィールドとして扱われますが、証明書の使用は指定された目的に制限されません。
表B.36 PKIX Extended Key Usage Extension の使用
| 使用 | OID |
|---|---|
| サーバー認証 | 1.3.6.1.5.5.7.3.1 |
| クライアント認証 | 1.3.6.1.5.5.7.3.2 |
| コード署名 | 1.3.6.1.5.5.7.3.3 |
| E メール | 1.3.6.1.5.5.7.3.4 |
| タイムスタンプ | 1.3.6.1.5.5.7.3.8 |
| OCSP 署名 |
1.3.6.1.5.5.7.3.9[a]
|
[a]
OCSP 署名は PKIX Part 1 では定義されていませんが、RFC 2560 『X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP』 では定義されていません。
| |
表B.37 Private Extended Key Usage Extension の使用
| 使用 | OID |
|---|---|
| 証明書トラストリスト署名 | 1.3.6.1.4.1.311.10.3.1 |
| Microsoft Server Gated Crypto (SGC) | 1.3.6.1.4.1.311.10.3.3 |
| Microsoft 暗号化ファイルシステム | 1.3.6.1.4.1.311.10.3.4 |
| Netscape SGC | 2.16.840.1.113730.4.1 |