B.3. 标准 X.509 v3 证书扩展参考
X.509 v3 证书包含一个扩展字段,允许向证书中添加任意数量的附加字段。证书扩展提供了向证书添加信息(如替代主题名称和使用量限制)的方法。旧版 Netscape 服务器,如 Red Hat Directory Server and Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System,在 PKIX 部分定义 1 标准之前已定义了特定于 Netscape 的扩展。
以下是包含 X.509 v3 扩展的证书的 部分示例。CertificateCertificate Systemnbsp;System 可以以可读用户打印格式显示证书,如下所示。如本例中,证书扩展出现在序列中,且每个证书只能有一个特定扩展实例;例如,证书只能包含一个主题密钥标识符扩展。支持这些扩展的证书有版本 0x2 (对应于版本 3)。
例 B.4. Pretty-Print Certificate Extensions 示例
Data:
Version: v3
Serial Number: 0x1
Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
Issuer: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US
Validity:
Not Before: Friday, February 21, 2005 12:00:00 AM PST America/Los_Angeles
Not After: Monday, February 21, 2007 12:00:00 AM PST America/Los_Angeles
Subject: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US
Subject Public Key Info:
Algorithm: RSA - 1.2.840.113549.1.1.1
Public Key:
Exponent: 65537
Public Key Modulus: (2048 bits) :
E4:71:2A:CE:E4:24:DC:C4:AB:DF:A3:2E:80:42:0B:D9:
CF:90:BE:88:4A:5C:C5:B3:73:BF:49:4D:77:31:8A:88:
15:A7:56:5F:E4:93:68:83:00:BB:4F:C0:47:03:67:F1:
30:79:43:08:1C:28:A8:97:70:40:CA:64:FA:9E:42:DF:
35:3D:0E:75:C6:B9:F2:47:0B:D5:CE:24:DD:0A:F7:84:
4E:FA:16:29:3B:91:D3:EE:24:E9:AF:F6:A1:49:E1:96:
70:DE:6F:B2:BE:3A:07:1A:0B:FD:FE:2F:75:FD:F9:FC:
63:69:36:B6:5B:09:C6:84:92:17:9C:3E:64:C3:C4:C9
Extensions:
Identifier: Netscape Certificate Type - 2.16.840.1.113730.1.1
Critical: no
Certificate Usage:
SSL CA
Secure Email CA
ObjectSigning CA
Identifier: Basic Constraints - 2.5.29.19
Critical: yes
Is CA: yes
Path Length Constraint: UNLIMITED
Identifier: Subject Key Identifier - 2.5.29.14
Critical: no
Key Identifier:
3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79:
9C:37:85:84
Identifier: Authority Key Identifier - 2.5.29.35
Critical: no
Key Identifier:
3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79:
9C:37:85:84
Identifier: Key Usage: - 2.5.29.15
Critical: yes
Key Usage:
Digital Signature
Key CertSign
Crl Sign
Signature:
Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
Signature:
AA:96:65:3D:10:FA:C7:0B:74:38:2D:93:54:32:C0:5B:
2F:18:93:E9:7C:32:E6:A4:4F:4E:38:93:61:83:3A:6A:
A2:11:91:C2:D2:A3:48:07:6C:07:54:A8:B8:42:0E:B4:
E4:AE:42:B4:B5:36:24:46:4F:83:61:64:13:69:03:DF:
41:88:0B:CB:39:57:8C:6B:9F:52:7E:26:F9:24:5E:E7:
BC:FB:FD:93:13:AF:24:3A:8F:DB:E3:DC:C9:F9:1F:67:
A8:BD:0B:95:84:9D:EB:FC:02:95:A0:49:2C:05:D4:B0:
35:EA:A6:80:30:20:FF:B1:85:C8:4B:74:D9:DC:BB:50
对象标识符 (OID)是识别唯一对象(如证书扩展名或公司证书实践声明)的数字字符串。CertificateCertificate Systemnbsp;System 附带一组特定于扩展的配置集插件模块,该模块使 X.509 证书扩展添加到服务器问题中。有些扩展包含用来指定 OID 的字段。
PKIX 标准建议所有对象(如扩展和语句)以 OID 的形式包含在证书中。这促进了共享网络上的机构之间的互操作性。如果将发布在共享网络上使用的证书,请将 OID 前缀注册到适当的注册机构。
OID 由国际标准机构(ISO)注册机构控制。在某些情况下,此授权由 ISO 委派给区域注册机构。美国美国国家标准研究所(ANSI)管理此注册。
使用注册到另一个机构或无法注册 OID 的 OID 可能会发生法律后果,具体取决于情况。注册可能取决于费用。如需更多信息,请联系相应的注册机构。
要为自定义对象定义或分配 OID,请知道公司的 arc,这是私有企业的 OID。如果公司没有rc,则需要获得一项。http://www.alvestrand.no/objectid/ 包含有关注册和使用 OID 的更多信息。
例如,名为 Netscape Certificate Comment 的扩展 Netscape-defined OID 为 2.16.840.1.113730.1.13。为这个扩展分配的 OID 是分级的,包括前一个 Netscape company arc 2.16.840.1。OID 定义条目是 http://www.alvestrand.no/objectid/2.16.840.1.113730.1.13.html。
如果证书中存在 OID 扩展并标记为关键,则验证证书的应用程序必须能够解释该扩展,包括任何可选的限定符,或者它必须拒绝该证书。由于所有应用程序都不太可能解释以 OID 格式嵌入的公司的自定义扩展,因此 PKIX 标准建议扩展始终标记为非关键。
本参考总结了有关每个证书的重要信息。有关完整详情,请参阅来自 ITU 的 X.509 v3 标准,以及 互联网 X.509 公共密钥基础架构 - 证书和密钥配置文件(RFC 3 280),请访问 RFC 3280。扩展描述引用标准草案的 RFC 和部分号,还会为每个扩展提供对象标识符(OID)。
证书中的每个扩展都可以指定为关键或非关键。使用证书系统(如 Web 浏览器)时,如果证书遇到无法识别的关键扩展,则必须拒绝证书。但是,如果无法识别,将无法忽略非关键扩展名。
B.3.1. authorityInfoAccess
授权信息访问扩展指示了如何和在哪里访问证书签发者的信息。该扩展包含一个 accessMethod 和 accessLocation 字段。accessMethod 由 OID 指定,在 accessLocation 中有关 named 签发者的信息的类型和格式。
PKIX 第 1 部分定义一个 accessMethod (id-ad-caIssuers)的列表,以获取 CA 链中签发的证书列表,超过使用扩展名的证书。accessLocation 字段随后通常包含一个 URL,表示用于检索列表的位置和协议(LDAP、HTTP 或者 FTP)。
Online Certificate Status Protocol(RFC 2560),在 RFC 2560 上提供,定义一个 accessMethod (id-ad-ocsp)来使用 OCSP 来验证证书。accessLocation 字段随后包含一个 URL,表示用于访问能够验证证书的 OCSP 响应者的位置和协议。
OID
1.3.6.1.5.5.7.1.1
严重程度
这个扩展必须是非关键。
