金鑰用法擴充及擴充金鑰用法
金鑰用法擴充定義包含在憑證中之公開金鑰的用途。您可以使用它們將公開金鑰限制到所需要的任何作業數目。例如,如果您讓金鑰僅用於簽署或驗證簽名,請啟用數位簽章及/或不拒絕擴充。或者,如果金鑰僅用於金鑰管理,請啟動金鑰加密。
金鑰用法擴充
下表說明使用 CA 程序所建立的憑證可以使用的金鑰用法擴充。
| 金鑰用法擴充 |
說明 |
|---|---|
| 數位簽章 |
在公開金鑰與數位簽章機制搭配使用時使用,以支援除不拒絕、憑證簽署或 CRL 簽署之外的安全性服務。數位簽章常用於透過完整性來進行實體鑑別及資料來源鑑別。 |
| 不拒絕 |
在使用公開金鑰驗證用於提供不拒絕服務的數位簽章時使用。不拒絕可避免簽署實體錯誤地拒絕部分動作 (排除憑證或 CRL 簽署)。 |
| 金鑰加密 |
在將憑證與加密金鑰的通訊協定搭配使用時使用。範例是 S/MIME 封套,其中快速(對稱的)金鑰是從憑證使用公開金鑰加密的。SSL 通訊協定亦執行金鑰加密。 |
| 資料加密 |
在公開金鑰 (而不是加密金鑰) 用於加密使用者資料時使用。 |
| 金鑰協定 |
在公開金鑰的寄件人及收件人需要不使用加密而衍生金鑰時使用。此金鑰還可用於加密寄件人與收件人之間的訊息。金鑰協定通常與 Diffie-Hellman 密碼搭配使用。 |
| 憑證簽署 |
在主旨公開金鑰用於驗證憑證上的簽名時使用。此擴充僅在 CA 憑證中使用。 |
| CRL 簽署 |
在主旨公開金鑰要驗證革新資訊 (如 CRL) 上的簽名時使用。 |
| 僅限加密 |
只在金鑰協定也啟動時使用。這可讓公開金鑰在執行金鑰協定時僅用於加密資料。 |
| 僅限解密 |
只在金鑰協定也啟動時使用。這可讓公開金鑰在執行金鑰協定時用於僅用於解密資料。 |
擴充金鑰用法
擴充金鑰用法進一步調整金鑰用法擴充。擴充金鑰可能很重要也可能不重要。如果擴充很重要,則憑證必須僅用於指出的一個以上的目的。如果憑證用於其他目的,則違反 CA 原則。
如果擴充不重要,則它會指出金鑰之指定的一個以上的目的,且可能用於尋找有多個金鑰/憑證之實體的正確金鑰/憑證。擴充僅是參考欄位,而不表示 CA 會將金鑰的使用限制於指出的目的。不過,為了接受憑證,使用憑證的應用程式可能需要指出特定的目的。
如果憑證包含重要的金鑰用法欄位及重要的擴充金鑰用法欄位,則必須單獨處理這兩個欄位,憑證僅用於與這兩個欄位一致的目的。如果沒有與這兩個欄位一致的目的,則憑證不可用於任何目的。
| 擴充金鑰 |
啟動這些金鑰用法擴充 |
|---|---|
| TLS網路伺服器鑑別 |
數位簽章、金鑰加密或金鑰協定 |
| TLS網路用戶端鑑別 |
數位簽章及(或)金鑰協定 |
| 簽署(可下載)可執行檔程式碼 |
數位簽章 |
| 電子郵件保護 |
數位簽章、不拒絕,及(或)金鑰加密或金鑰協定 |
| IPSEC 終端系統(主機或路由器) |
數位簽章及(或)金鑰加密或金鑰協定 |
| IPSEC 通道 |
數位簽章及(或)金鑰加密或金鑰協定 |
| IPSEC 使用者 |
數位簽章及(或)金鑰加密或金鑰協定 |
| 時間戳記 |
數位簽章、不拒絕。 |
| 應用程式 |
必要的金鑰用法擴充 |
|---|---|
| SSL 用戶端 |
數位簽章 |
| SSL 伺服器 |
金鑰加密 |
| S/MIME 簽署 |
數位簽章 |
| S/MIME 加密 |
金鑰加密 |
| 憑證簽署 |
憑證簽署 |
| 物件簽署 |
數位簽章 |