«Использование ключа» определяет, что можно сделать с ключом, содержащимся в сертификате.Примеры использования: шифрование, подпись, подписывание сертификатов, подписывание CRL.
«Основные ограничения» определяет, является ли субъект сертификатов центром сертификации, которому разрешено выдавать дочерние сертификаты.
Для сертификата, который может использоваться для подписи сертификатов, информация в некотором смысле дублируется:
- X509v3 Основные ограничения: CA: TRUE --- Может подписывать сертификаты
- Ключ X509v3Использование: Key Cert Sign --- Может подписывать сертификаты
Но «Основные ограничения» также будут указывать максимальную глубину действительной цепочки сертификации.
Хотя она дублируется, вам необходимоукажите оба, в соответствии с RFC 3280 --- X.509 .Это соответствующий параграф из RFC (стр. 29):
Бит keyCertSign устанавливается, когда предметный открытый ключ используется для проверки подписи на сертификатах открытого ключа.Если бит keyCertSign установлен, то ДОЛЖЕН также быть установлен бит cA в расширении базовых ограничений (раздел 4.2.1.10).