版本 3 扩展
X.509 版本 3 证书包含版本 1 和版本 2 中定义的字段并添加了证书扩展。 以下示例显示了证书扩展的 ASN.1 语法。
---------------------------------------------------------------------
-- Extensions (beginning with version 3).
---------------------------------------------------------------------
Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE
{
Id OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING
}
下表列出了标准版本 3 扩展及其对象标识符 (OID)。 Microsoft 支持这些扩展且包含其他自定义扩展。 有关详细信息,请参阅扩展。
扩展 | 说明 |
---|---|
授权密钥标识符 (2.5.29.35) | 标识证书颁发机构 (CA) 公钥,与用于签署证书的 CA 私钥对应。 |
基本约束 (2.5.29.19) | 指定实体是否可用作 CA,如果可以,则指定在证书链中该 CA 下可以存在的从属 CA 的数量。 |
证书策略 (2.5.29.32) | 指定颁发证书的策略和使用证书的目的。 |
CRL 分发点 (2.5.29.31) | 包含基本证书吊销列表 (CRL) 的 URI。 |
增强型密钥用法 (2.5.29.46) | 指定证书中包含的公钥的使用方式。 |
颁发者备用名称 (2.5.29.8) | 为证书请求颁发者指定一个或多个备用名称形式。 |
密钥使用情况 (2.5.29.15) | 指定证书中包含的公钥可以执行的操作的限制。 |
名称约束 (2.5.29.30) | 指定证书层次结构中所有使用者名称必须位于的命名空间。 扩展仅在 CA 证书中使用。 |
策略约束 (2.5.29.36) | 通过禁止策略映射或通过要求层次结构中的每个证书包含一个可接受的策略标识符来约束路径验证。 扩展仅在 CA 证书中使用。 |
策略映射 (2.5.29.33) | 指定与发证 CA 中的策略对应的从属 CA 中的策略。 |
私钥使用周期 (2.5.29.16) | 为私钥指定与私钥关联的证书不同的验证周期。 |
使用者可选名称 (2.5.29.17) | 为证书请求使用者指定一个或多个备用名称形式。 示例备用形式包括电子邮件地址、DNS 名称、IP 地址和 URI。 |
使用者目录属性 (2.5.29.9) | 传达标识属性,如证书使用者的国籍。 扩展值是 OID 值对序列。 |
使用者密钥标识符 (2.5.29.14) | 区分证书使用者持有的多个公钥。 扩展值一般是密钥的 SHA-1 哈希。 |