一般人对证书的其它各项比较熟悉,但对它的扩展项却比较陌生一些。那么这些扩展项都有什么作用呢?事实上,这些扩展项共有如下几类:
◆Authority密钥标识符—证书所含密钥的唯一标识符,用来区分同一证书拥有者的多对密钥。
◆密钥使用—一个比特串,指明(限定)证书的公钥可以完成的功能或服务,如:证书签名、数据加密等。
◆扩展密钥使用—由一个或多个对象标识符(OIDs)组成,可以说明证书密钥的特殊用途。有Internet策略限定,存取描述符限定[3]等,请参见RFC2459。
◆CRL分布点—指明CRL的分布地点。
◆私钥的使用期—指明证书中与公钥相联系的私钥的使用期限,它也有Not Before和Not After组成。若此项不存在时,公私钥的使用期是一样的。
◆证书策略—由对象标识符和限定符组成,这些对象标识符说明证书的颁发和使用策略有关。
◆策略映射—表明两个CA域之间的一个或多个策略对象标识符的等价关系,仅在CA证书里存在。
◆主体别名—指出证书拥有者的别名,如电子邮件地址、IP地址等,别名是和DN绑定在一起的。
◆颁发者别名--指出证书颁发者的别名,如电子邮件地址、IP地址等,但颁发者的DN必须出现在证书的颁发者字段。
◆主体目录属性—指出证书拥有者的一系列属性。可以使用这一项来传递访问控制信息。
在制作证书时,这些扩展项可添可不添,根据你实施CA的具体策略而定,比如说如果你的CRL发布点是一个Web网页,那么你就可以在证书中的CRL分布点一项添上你的网页地址。