B.3.2. authorityKeyIdentifier

Authority Key Identifier 扩展标识与用于为证书签名的私钥对应的公钥。当签发者有多个签名密钥时,这个扩展很有用,比如当 CA 证书被续订时。
扩展由以下之一或两个组成:
  • 一个显式键标识符,在 keyIdentifier 字段中设置
  • authorityCertIssuer 字段和序列号中设置的签发者,在 authorityCertSerialNumber 字段中设置,标识证书
如果 keyIdentifier 字段存在,它将用来选择具有匹配 subjectKeyIdentifier 扩展名的证书。如果 颁发机构CertIssuerauthorityCertSerialNumber 字段存在,则会使用它们通过 签发者serialNumber 来识别正确的证书。
如果这个扩展不存在,则单独使用签发者名称来识别签发者证书。
PKIX 第 1 部分要求除自签名 root CA 证书外的所有证书都必须此扩展。如果尚未建立密钥标识符,PKIX 建议需要指定 授权CertIssuerauthorityCertSerialNumber 字段。这些字段允许构建完整的证书链,方法是与主题证书中的 SubjectNameCertificate Ser 和 CertificateSers suerauthorityCertSer 标识符扩展中的授权认证链匹配。

OID

2.5.29.35

严重程度

这个扩展总是非关键,且总是被评估。