содержание сертификатов

Тут нас волнует в основном вопрос , что должно быть в корневом сертификате и что в подчиненном сертификате, так как мы делаем само-заверенный корневой сертификат на 10 лет и от него выпускаем подчиненные сертификаты.

Сначала смотрим раздел Издатель , у корневого сертификата:
CN Common Name [не более 50 символов]
O Organization (BIT Ltd)
OU Organizational Unit ( BIT Development Company)
L: Locality
S: StateOrProvinceName
C: CountryName

Что может делать ключ прописывается в его сертификате :
Цифровая подпись
Подписывание сертификатов
Подписывание списка отзыва (CRL)

CDP (CRL distribution point)

Возможные варианты использования корневого сертификата :

Цифровая подпись,
Подписывание сертификатов,
Автономное подписание списка отзыва (CRL),
Подписывание списка отзыва (CRL) (86)

SubjectAltName - похоже это только для добавления к CN альтернативных доменных имен.

  № пп   Название Смещение битовой маски Описание
12    digitalSignature 0 Электронная цифровая подпись
13    nonRepudiation / contentCommitment 1 Неотрекаемость от авторства
14    keyEncipherment 2 Шифрование ключей
15    dataEncipherment 3 Шифрование данных
16    keyAgreement 4 Согласование ключей
17    keyCertSign 5 Электронная цифровая подпись сертификатов ключей подписи
18    cRLSign 6 Электронная цифровая подпись списков отозванных сертификатов
19    encipherOnly 7 Зашифрование
20    decipherOnly 8 Расшифрование