Ein X.509-Zertifikat der Version 3 enthält die Felder, die in Version 1 und Version 2 definiert sind, und es werden Zertifikaterweiterungen hinzugefügt. Die ASN.1-Syntax von Zertifikatserweiterungen ist im folgenden Beispiel dargestellt.
---------------------------------------------------------------------
-- Extensions (beginning with version 3).
---------------------------------------------------------------------
Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE
{
Id OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
}
Die Standard-Erweiterungen der Version 3 und ihre Objektbezeichner (OIDs) sind in der folgenden Tabelle aufgeführt. Microsoft unterstützt diese und bietet zusätzliche benutzerdefinierte Erweiterungen an. Weitere Informationen finden Sie unter Erweiterungen.
Durchwahl
Beschreibung
Authority Key Identifier(2.5.29.35)
Gibt den öffentlichen Schlüssel der Zertifizierungsstelle an, der dem privaten Schlüssel der Zertifizierungsstelle entspricht, mit dem das Zertifikat signiert wird.
Basic Constraints(2.5.29.19)
Gibt an, ob die Entität als Zertifizierungsstelle fungieren kann, und wenn dies der Fall ist, wie viele untergeordnete Zertifizierungsstellen in der Zertifikatkette darunter vorhanden sein können.
Certificate Policies(2.5.29.32)
Gibt die Richtlinien an, unter denen das Zertifikat ausgestellt wurde, sowie die Zwecke, für die es genutzt werden kann.
CRL Distribution Points(2.5.29.31)
Enthält den URI der Basiszertifikatswiderrufsliste (CRL).
Enhanced Key Usage(2.5.29.46)
Gibt die Art und Weise an, in welcher der öffentliche Schlüssel im Zertifikat verwendet werden kann.
Issuer Alternative Name(2.5.29.8)
Gibt einen oder mehrere alternative Namen für den Aussteller der Zertifikatanforderung an.
Key Usage(2.5.29.15)
Gibt die Einschränkungen für die Vorgänge an, die durch den öffentlichen Schlüssel im Zertifikat ausgeführt werden können.
Name Constraints(2.5.29.30)
Gibt den Namespace an, in dem alle Antragstellernamen in einer Zertifikathierarchie liegen müssen. Die Erweiterung wird lediglich in einem Zertifizierungsstellenzertifikat verwendet.
Policy Constraints(2.5.29.36)
Schränkt die Zertifikatüberprüfung ein, indem die Richtlinienzuordnung untersagt oder gefordert wird, dass jedes Zertifikat in der Hierarchie eine akzeptable Richtlinienkennung aufweisen muss. Die Erweiterung wird lediglich in einem Zertifizierungsstellenzertifikat verwendet.
Policy Mappings(2.5.29.33)
Gibt die Richtlinien in einer untergeordneten Zertifizierungsstelle an, die Richtlinien in der ausstellenden Zertifizierungsstelle entsprechen.
Private Key Usage Period(2.5.29.16)
Gibt einen anderen Gültigkeitszeitraum für den privaten Schlüssel als für das Zertifikat an, dem der private Schlüssel zugeordnet ist.
Subject Alternative Name(2.5.29.17)
Gibt einen oder mehrere alternative Namen für den Antragsteller der Zertifikatanforderung an. Beispiele für alternative Namen sind E-Mail-Adressen, DNS-Namen, IP-Adressen und URIs.
Subject Directory Attributes(2.5.29.9)
Vermittelt identifizierende Attribute, beispielsweise die Nationalität des Zertifikatantragstellers. Der Erweiterungswert ist eine Folge von OID-Wertepaaren.
Subject Key Identifier(2.5.29.14)
Unterscheidet zwischen mehreren öffentlichen Schlüsseln im Besitz des Zertifikatantragstellers. Der Erweiterungswert ist normalerweise ein SHA-1-Hash des Schlüssels.