証明書項目-対象者識別子(SubjectKeyIdentifier)
説明(書籍から一部引用)
SubjectKeyIdentifier拡張領域は、証明書の対象者が複数の鍵集合を使用している場合、どの鍵集合に公開鍵が属しているかを示します。AuthorityKeyIdentifierとは違い、keyIdentifier形式のみが使用されます。この拡張領域は常に非クリティカルの印がつけられています。
SubjectKeyIdentifierは、証明書チェーンの構築支援のため、すべてのCA証明書に含まれていなければなりません。この拡張子はオプションですが、エンドエンティティ証明書ではこれを含めることを推奨します。
OpenSSLの設定例
設定ファイルをgrepすると以下のようになっている。
# grep subjectKeyIdentifier openssl.cnf subjectKeyIdentifier=hash subjectKeyIdentifier=hash subjectKeyIdentifier=hash #
個人的見解
使用される際のイメージがよくわからなかった。中間CAが複数の証明書を持っているような場合などに利用するのだろうか。いずれにしても、OpenSSLのデフォルトのまま変更することはなさそうだ。