B.3.8. keyUsage
Key Usage 扩展定义证书中包含的密钥的用途。密钥使用、扩展密钥用法和 Basic Constraints 扩展一起指定可以使用证书的用途。
如果这个扩展包含在所有中,请按如下所示设置位:
- 用于 SSL 客户端证书、S/MIME 签名证书和对象签名证书的 数字签名 (0)。
- 用于一些 S/MIME 签名证书和对象签名证书的 非 报(1)。WARNING此位的使用是简介的。在为任何证书设置前,请仔细考虑其使用的合法后果。
- 用于 SSL 服务器证书和 S/MIME 加密证书 的密钥 增加(2)。
- 当主体的公钥加密用户数据而非密钥材料时,数据增加(3)
- 当主题的公钥用于 密钥协议 时,密钥总会(4)。
- 所有 CA 签名证书的 keyCertSign (5)
- 用于签署 CRL 的 CA 签名证书的 cRLSign (6)。
- 如果公钥仅用于一致性数据,则强制(7)。如果设置了这个位,则还应设置 keyAgreement。
- 如果公钥仅用于减弱数据,则 decipherOnly (8)。如果设置了这个位,则还应设置 keyAgreement。
表 B.38 “证书使用和更正关键使用量” 总结典型证书使用指南。
如果存在 keyUsage 扩展并标记为关键,则会使用它强制使用证书和密钥。扩展用于限制密钥的使用;如果扩展名不存在或不存在关键,则允许所有类型的使用。
如果存在 keyUsage 扩展,则可用于从给定操作的多个证书中选择。例如,它用于为具有独立证书和密钥操作的用户区分单独的签名和加密证书。
OID
2.5.29.15
严重程度
这个扩展可能是关键或非关键。PKIX 第 1 部分建议在使用时,应将其标记为关键。
表 B.38. 证书使用和更正关键使用量
| 证书的目的 | 所需密钥使用 Bit |
|---|---|
| CA Signing |
|
| SSL 客户端 | digitalSignature |
| SSL 服务器 | keyEncipherment |
| S/MIME 签名 | digitalSignature |
| S/MIME 加密 | keyEncipherment |
| 证书签名 | keyCertSign |
| 对象签名 | digitalSignature |
