バージョン 3 の拡張機能
X.509 バージョン 3 の証明書には、バージョン 1 とバージョン 2 で定義されたフィールドが含まれており、さらに証明書の拡張機能が追加されています。 証明書拡張機能の ASN.1 構文を次の例に示します。
---------------------------------------------------------------------
-- Extensions (beginning with version 3).
---------------------------------------------------------------------
Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE
{
Id OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
}
標準バージョン 3 の拡張機能とそのオブジェクト識別子 (OID) を次の表に示します。 Microsoft ではこれらがサポートされ、追加のカスタム拡張機能が含まれています。 詳細については、「拡張機能」を参照してください。
| 拡張機能 | 説明 |
|---|---|
| 機関キー識別子 (2.5.29.35) | 証明書への署名に使われる証明機関 (CA) 秘密キーに対応する CA 公開キーを識別します。 |
| 基本制限 (2.5.29.19) | エンティティを CA として利用できるかどうか、またできる場合は、証明書チェーンにおいてその下位に存在できる下位 CA の数を指定します。 |
| 証明書ポリシー (2.5.29.32) | 証明書が発行されたポリシーと、許可されている使用目的を指定します。 |
| CRL 配布ポイント (2.5.29.31) | 基本証明書失効一覧 (CRL) の URI が含まれています。 |
| 拡張キー使用法 (2.5.29.46) | 証明書に含まれる公開キーを使うことができる方法を指定します。 |
| 発行者の別名 (2.5.29.8) | 証明書要求の発行者に対する 1 つ以上の別名形式を指定します。 |
| キー使用法 (2.5.29.15) | 証明書に含まれる公開キーによって実行可能な操作に関する制限を指定します。 |
| 名前の制限 (2.5.29.30) | 証明書階層内のすべてのサブジェクト名が存在している必要がある名前空間を指定します。 この拡張機能は CA 証明書でのみ使われます。 |
| ポリシー制約 (2.5.29.36) | ポリシー マッピングを禁止するか、階層内の各証明書に許容可能なポリシー識別子を含めることを要求することによって、パス検証を制限します。 この拡張機能は CA 証明書でのみ使われます。 |
| ポリシー マッピング (2.5.29.33) | 発行元の CA のポリシーに対応する、下位 CA のポリシーを指定します。 |
| 秘密キーの使用期間 (2.5.29.16) | 秘密キーが関連付けられている証明書の有効期間と異なる場合に、秘密キーに別の有効期間を指定します。 |
| サブジェクトの別名 (2.5.29.17) | 証明書要求のサブジェクトに対する 1 つ以上の別名形式を指定します。 別名形式の例として、メール アドレス、DNS 名、IP アドレス、URI などがあります。 |
| Subject Directory Attributes (2.5.29.9) | 証明書サブジェクトの国籍など、識別属性を指定します。 この拡張機能の値は、OID と値のペアが連続する形になります。 |
| サブジェクト キー識別子 (2.5.29.14) | 証明書サブジェクトが保持する複数の公開キーを区別します。 この拡張機能の値は、通常は、キーの SHA-1 ハッシュです。 |