Тут нас волнует в основном вопрос , что должно быть в корневом сертификате и что в подчиненном сертификате, так как мы делаем само-заверенный корневой сертификат на 10 лет и от него выпускаем подчиненные сертификаты.
Сначала смотрим раздел Издатель , у корневого сертификата:
CN Common Name [не более 50 символов]
O Organization (BIT Ltd)
OU Organizational Unit ( BIT Development Company)
L: Locality
S: StateOrProvinceName
C: CountryName
Что может делать ключ прописывается в его сертификате :
Цифровая подпись
Подписывание сертификатов
Подписывание списка отзыва (CRL)
CDP (CRL distribution point)
Возможные варианты использования корневого сертификата :
Цифровая подпись,
Подписывание сертификатов,
Автономное подписание списка отзыва (CRL),
Подписывание списка отзыва (CRL) (86)
subjectAltName - похоже это только для добавления к CN альтернативных доменных имен.
№ пп | Название | Смещение битовой маски | Описание |
12 | digitalSignature | 0 | Электронная цифровая подпись |
13 | nonRepudiation / contentCommitment | 1 | Неотрекаемость от авторства |
14 | keyEncipherment | 2 | Шифрование ключей |
15 | dataEncipherment | 3 | Шифрование данных |
16 | keyAgreement | 4 | Согласование ключей |
17 | keyCertSign | 5 | Электронная цифровая подпись сертификатов ключей подписи |
18 | cRLSign | 6 | Электронная цифровая подпись списков отозванных сертификатов |
19 | encipherOnly | 7 | Зашифрование |
20 | decipherOnly | 8 | Расшифрование |