Extensions d'utilisation de clé et utilisation des clés étendues
Les extensions d'utilisation de clé définissent le rôle de la clé publique contenue dans un certificat. Vous pouvez les utiliser pour adapter la clé publique au nombre d'opérations approprié. Par exemple, si vous utilisez une clé uniquement pour la signature ou la vérification d'une signature, activez les extensions "signature numérique" et/ou "non-répudiation". Si, en revanche, une clé est utilisée uniquement pour la gestion de clés, activez "Chiffrement de la clé".
Extensions d'utilisation de clé
Le tableau ci-dessous décrit les extensions d'utilisation de clé disponibles pour les certificats créés à l'aide du processus d'AC.
| Extension d'utilisation de clé |
Description |
|---|---|
| Signature numérique |
A activer quand la clé publique est associée à un mécanisme de signature numérique pour prendre en charge des services de sécurité autres que la non-répudiation, la signature de certificats ou de LRC. Une signature numérique est souvent utilisée pour authentifier avec intégrité les entités et l'origine des données. |
| Non-répudiation |
A activer quand la clé publique sert à vérifier les signatures numériques utilisées pour fournir un service de non-répudiation. La non-répudiation permet d'empêcher l'entité signataire de refuser à tort certaines actions (à l'exception de la signature de certificats ou de LRC). |
| Chiffrement de la clé |
A activer quand vous avez l'intention d'utiliser un certificat avec un protocole de chiffrement de clés, par exemple, les enveloppes S/MIME qui permettent le chiffrement d'une clé (symétrique) rapide avec la clé publique du certificat. Le protocole SSL effectue également le chiffrement de clés. |
| Chiffrement des données |
A activer quand la clé publique est utilisée pour chiffrer les données de l'utilisateur autres que les clés cryptographiques. |
| Accord de la clé |
A activer quand l'expéditeur et le destinataire de la clé publique doivent définir la clé sans utiliser le chiffrement. Cette clé peut ensuite être utilisée pour chiffrer les messages entre l'expéditeur et le destinataire. L'accord de la clé est généralement utilisé avec le chiffrement Diffie-Hellman. |
| Signature du certificat |
A activer quand la clé publique de dénomination spécifique est utilisée pour vérifier une signature sur certains certificats. Cette extension peut être utilisée uniquement dans les certificats d'AC. |
| Signature de la liste de révocation de certificats |
A activer quand la clé publique de dénomination spécifique est utilisée pour vérifier une signature dans les informations de révocation, par exemple dans une LRC. |
| Chiffrer uniquement |
A activer exclusivement si l'accord de la clé est activé aussi. Ceci permet d'utiliser la clé publique uniquement pour chiffrer des données pendant l'exécution de l'accord de la clé. |
| Déchiffrer uniquement |
A activer exclusivement si l'accord de la clé est activé aussi. Ceci permet d'utiliser la clé publique uniquement pour déchiffrer des données pendant l'exécution de l'accord de la clé. |
Utilisation des clés étendues
L'utilisation de clés étendues affine les extensions d'utilisation de clé. Une clé étendue peut être critique ou non. Si l'extension est critique, le certificat doit être utilisé uniquement pour le ou les objectifs indiqués. L'utilisation du certificat dans un autre but constituerait une violation de la politique de l'AC.
Si l'extension n'est pas critique, elle définit le ou les objectifs de la clé et peut être utilisée pour rechercher la clé et/ou le certificat correct d'une entité qui dispose de plusieurs clés/certificats. L'extension constitue alors uniquement un champ informatif et n'implique pas que l'AC limite l'utilisation de la clé aux objectifs spécifiés. Néanmoins, les applications qui utilisent des certificats peuvent requérir qu'un objectif particulier soit indiqué pour que le certificat soit acceptable.
Si un certificat contient à la fois un champ relatif à l'utilisation d'une clé critique et un champ relatif à l'utilisation d'une clé étendue critique, les deux champs doivent être traités indépendamment et le certificat doit être utilisé uniquement dans un but commun aux deux champs. S'il n'existe aucun but commun aux deux champs, le certificat ne doit pas être utilisé pour aucun objectif particulier.
| Clé étendue |
Activation pour les extensions d'utilisation de clé suivantes |
|---|---|
| Authentification du serveur Web TLS |
Signature numérique, chiffrement de la clé ou accord de la clé |
| Authentification du client Web TLS |
Signature numérique et/ou accord de la clé |
| Signature (téléchargeable) du code exécutable |
Signature numérique |
| Protection de messagerie |
Signature numérique, non-répudiation et/ou chiffrement de la clé ou accord de la clé |
| Système de terminaison IPSEC (hôte ou routeur) |
Signature numérique et/ou chiffrement de la clé ou accord de la clé |
| Tunnel IPSEC |
Signature numérique et/ou chiffrement de la clé ou accord de la clé |
| Utilisateur IPSEC |
Signature numérique et/ou chiffrement de la clé ou accord de la clé |
| Horodatage |
Signature numérique, non-répudiation |
| Application |
Extensions d'utilisation de clé requises |
|---|---|
| Client SSL |
Signature numérique |
| Serveur SSL |
Chiffrement de la clé |
| Signature S/MIME |
Signature numérique |
| Chiffrement S/MIME |
Chiffrement de la clé |
| Signature du certificat |
Signature du certificat |
| Signature d'objet |
Signature numérique |