X.509 バージョン 3 の証明書には、バージョン 1 とバージョン 2 で定義されているフィールドが含まれており、証明書の拡張子が追加されます。 証明書拡張機能の ASN.1 構文を次の例に示します。
---------------------------------------------------------------------
-- Extensions (beginning with version 3).
---------------------------------------------------------------------
Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE
{
Id OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
}
標準バージョン 3 の拡張機能とそのオブジェクト識別子 (OID) を次の表に示します。 Microsoft ではこれらをサポートしており、追加のカスタム拡張機能が含まれています。 詳細については、「拡張機能の」を参照してください。
| 延長 | 形容 |
|---|---|
| Authority Key Identifier(2.5.29.35) | 証明書の署名に使用される CA 秘密キーに対応する証明機関 (CA) 公開キーを識別します。 |
| 基本制約(2.5.29.19) | エンティティを CA として使用できるかどうかを指定し、使用できる場合は、証明書チェーン内の下位 CA の下に存在できる CA の数を指定します。 |
| 証明書ポリシー(2.5.29.32) | 証明書が発行されたポリシーと、証明書を使用できる目的を指定します。 |
| CRL 配布ポイント(2.5.29.31) | ベース 証明書失効リスト (CRL) の URI を格納します。 |
| 拡張キー使用法 (2.5.29.46) | 証明書に含まれる公開キーを使用できる方法を指定します。 |
| 発行者の別名 (2.5.29.8) | 証明書要求の発行者の 1 つ以上の別名フォームを指定します。 |
| キー使用法(2.5.29.15) | 証明書に含まれる公開キーによって実行できる操作の制限を指定します。 |
| 名前の制約(2.5.29.30) | 証明書階層内のすべてのサブジェクト名を配置する必要がある名前空間を指定します。 この拡張機能は、CA 証明書でのみ使用されます。 |
| ポリシー制約(2.5.29.36) | ポリシー マッピングを禁止するか、階層内の各証明書に許容可能なポリシー識別子が含まれていることを要求することで、パスの検証を制限します。 この拡張機能は、CA 証明書でのみ使用されます。 |
| ポリシー マッピング(2.5.29.33) | 発行元 CA のポリシーに対応する下位 CA のポリシーを指定します。 |
| 秘密キーの使用期間 (2.5.29.16) | 秘密キーに対して、秘密キーが関連付けられている証明書とは異なる有効期間を指定します。 |
| サブジェクトの別名 (2.5.29.17) | 証明書要求のサブジェクトの 1 つ以上の別名フォームを指定します。 代替フォームの例としては、電子メール アドレス、DNS 名、IP アドレス、URI などがあります。 |
| サブジェクト ディレクトリ属性 (2.5.29.9) | 証明書のサブジェクトの国籍などの識別属性を伝えます。 拡張値は、OID と値のペアのシーケンスです。 |
| サブジェクト キー識別子 (2.5.29.14) | 証明書のサブジェクトによって保持されている複数の公開キーを区別します。 通常、拡張値はキーの SHA-1 ハッシュです。 |