X509証明書項目-拡張鍵用途(ExtendedKeyUsage)
説明(書籍から一部引用)
ExtendedKeyUsage拡張領域で、鍵の追加的な用途情報を指定できます。鍵の用途は鍵の用途識別子のリストとして定義されます。任意の組織は鍵の用途情報とそれに対応する識別子を定義することができます(これらの識別子の登録には他のオブジェクトと同じルールが適用されます)。
この拡張領域はクリティカルの印がつけられることもありますし、非クリティカルと印がつけられることもあります。クリティカルの印がつけられている場合、その鍵は指定された目的でのみ使用されなければなりません。非クリティカルの印がつけられている場合、鍵用途の指示は勧告となります。
OpenSSLの設定例
設定ファイルをgrepすると以下のようになっている。
# grep extendedKeyUsage openssl.cnf # extendedKeyUsage = critical,timeStamping #
デフォルトではコメントアウトされている。
個人的見解
OCSPの情報を調べると、例えばHow to set up OCSP using OpenSSL - I-Space Research Labsでは
[ v3_OCSP ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage = OCSPSigning
としてextendedKeyUsageにOCSPSigningを設定している。KeyUsage同様、ここにどのような情報を設定できるのか等も把握したいと思うが、参照している書籍にはその情報はない。別途ここは確認が必要と思われる。My TODOに追加だな。