X509証明書項目-拡張鍵用途(ExtendedKeyUsage) - Shammerismで、ExtendedKeyUsageで設定できる内容の一覧がほしいと書いていたが、info x503v3_configでその情報があった。 Value Meaning ----- ------- serverAuth SSL/TLS Web Server Authentication. clie…

これまでX509の情報について書籍を参考に(ほぼコピペで)まとめてきたが、manコマンドでいろいろなことがわかることがわかった。具体的には以下のコマンドだ。 man ca man req man x509v3_config infoでもca以外はは参照できる。info caとすると、おそらくcat…

説明(書籍から一部引用) InhibitAnyPolicyConstraint拡張領域で、anyPolicyポリシー識別子の使用を排除できます。これにより明示的ポリシーと対立する任意ポリシーを使用しているCAを制御できます。この拡張領域にはcriticalの印をつけることもできますし、n…

説明(書籍から一部引用) NameConstraints拡張領域により、CAは他のCAを証明する際に名前空間のどの部分がカバーされるかを識別できます。この拡張領域によりカバーされる名前形式のデータタイプはGeneralNameであり、幅広い命名規則がカバーされます。しかし…

説明(書籍から一部引用) この拡張領域は証明書ポリシーフィールドの使用に依存する処理を実行する際に適用が望まれる制約の集まりです。 requireExplicitPolicyインジケータは、処理中の証明書の後に続くすべての証明書が、受け入れ可能なポリシー識別子を明…

説明(書籍から一部引用) BasicConstraints拡張領域でCA証明書の識別ができます。この拡張領域はCAフィールドとPathLenConstraintフィールドを保持しています。基本制約CAフィールドが真にセットされた証明書で証明されている公開鍵を持つエンティティは、証…

説明(書籍から一部引用) SubjectDirectoryAttributes拡張領域は、証明書の対象者に適用可能なディレクトリ属性を入れることのできる非クリティカル拡張領域です。 OpenSSLの設定例 デフォルトでは未定義のようだ。 # grep -i SubjectDirectoryAttributes ope…

説明(書籍から一部引用) IssuerAlternativeName拡張領域には、証明書の発行者を特定するために使用できるさまざまな名称形式のリストが保持されています。この拡張領域にクリティカルの印がついている場合、Issuerフィールドにはヌル名称を入れることができ…

説明(書籍から一部引用) SubjectAltnativeName拡張領域には、証明書の対象者の特定に使用できるさまざまな名称形式のリストが保持されています。この拡張領域にクリティカルの印がついている場合、Subjectフィールドにはヌル名称を入れることができます。ま…

説明(書籍から一部引用) PolicyMapping拡張領域により、証明書発行者は証明書ユーザーのドメインのポリシー識別子に対応する発行者のドメインのポリシー識別子を示すことができます。これにより発行者のドメインで使用されているOIDを証明書ユーザーのドメイ…

説明(書籍から一部引用) CertificatePolicies拡張領域には、認証局が証明書の発行の際に使用した証明書ポリシーを識別するOIDのリストが含まれます。証明書を使用する各アプリケーションにより、リストされた１つまたは２つ以上のポリシーの使用が可能です。…

説明(書籍から一部引用) これは証明書の用途に関するポリシー識別子と修飾子のリストです。ポリシー識別子は証明書パスを検証する過程で使用することができます。ポリシー拡張領域が他の認証局によって発行されたCA証明書内で指定されている場合、そのポリシ…

説明(書籍から一部引用) デジタル署名鍵を使用する際、秘密鍵の有効期間が証明書の有効期間と異なる場合があります。署名を生成する秘密鍵が有効でなくなり使えなくなったずっと後で、証明された公開鍵を使用してデジタル署名を検証しなければならないことは…

説明(書籍から一部引用) ExtendedKeyUsage拡張領域で、鍵の追加的な用途情報を指定できます。鍵の用途は鍵の用途識別子のリストとして定義されます。任意の組織は鍵の用途情報とそれに対応する識別子を定義することができます(これらの識別子の登録には他の…

説明(書籍から一部引用) KeyUsage拡張領域は公開鍵を使用する目的を定義します。 この拡張領域にはクリティカルの印をつけることを推奨します。 この拡張領域にクリティカルのフラグがついている場合、鍵はその指定された目的のみ使用されなければなりません…

説明(書籍から一部引用) SubjectKeyIdentifier拡張領域は、証明書の対象者が複数の鍵集合を使用している場合、どの鍵集合に公開鍵が属しているかを示します。AuthorityKeyIdentifierとは違い、keyIdentifier形式のみが使用されます。この拡張領域は常に非ク…

説明(書籍から一部引用) 証明書の署名を検証するために、認証局が所有する複数の公開鍵のうちどれを使用するかを指定するために使用されます。これにより認証局は複数の鍵集合を使用した運用が可能となり、証明書ユーザーはどの鍵集合が使用されるべきかを識…

クリティカルは項目でなく、項目に付与するフラグであるが。以前に作成した証明書で、basicConstraintsにcriticalを付けたことがある。何も理解せずに呪文のように付けたが、このcriticalにも意味があるということでそれを確認した。 このフラグがあると、こ…