Тут нас волнует в основном вопрос , что должно быть в корневом сертификате и что в подчиненном сертификате, так как мы делаем само-заверенный корневой сертификат на 10 лет и от него выпускаем подчиненные сертификаты.
Сначала смотрим раздел Издатель , у корневого сертификата:
CN Common Name [не более 50 символов]
O Organization (BIT Ltd)
OU Organizational Unit ( BIT Development Company)
L: Locality
S: StateOrProvinceName
C: CountryName
Что может делать ключ прописывается в его сертификате :
Цифровая подпись
Подписывание сертификатов
Подписывание списка отзыва (CRL)
CDP (CRL distribution point)
Возможные варианты использования корневого сертификата :
Цифровая подпись,
Подписывание сертификатов,
Автономное подписание списка отзыва (CRL),
Подписывание списка отзыва (CRL) (86)
subjectAltName - похоже это только для добавления к CN альтернативных доменных имен.
| № пп | Название | Смещение битовой маски | Описание |
| 12 | digitalSignature | 0 | Электронная цифровая подпись |
| 13 | nonRepudiation / contentCommitment | 1 | Неотрекаемость от авторства |
| 14 | keyEncipherment | 2 | Шифрование ключей |
| 15 | dataEncipherment | 3 | Шифрование данных |
| 16 | keyAgreement | 4 | Согласование ключей |
| 17 | keyCertSign | 5 | Электронная цифровая подпись сертификатов ключей подписи |
| 18 | cRLSign | 6 | Электронная цифровая подпись списков отозванных сертификатов |
| 19 | encipherOnly | 7 | Зашифрование |
| 20 | decipherOnly | 8 | Расшифрование |