创建 CA 证书的 x.509 V3 扩展基本约束和密钥用法有什么区别？

Question

这两个操作似乎执行相同的操作：

• 在 X.509 证书中使用基本约束扩展来表示它是 CA 证书，并
• 使用密钥用法扩展例如表示公钥可用于证书签名。

这些扩展有什么区别？
它们的目的相同还是互补？

Answer 1

“密钥用法”定义了可以使用证书中包含的密钥执行哪些操作。使用示例有：加密、签名、签名证书、签名 CRL。

“基本约束”标识证书的主体是否是允许颁发子证书的 CA。

对于可用于签署证书的证书，该信息在某种意义上是重复的：

• X509v3 基本约束：CA: TRUE --- 可以签署证书
• X509v3 密钥用法：Key Cert Sign --- 可以签署证书

但“基本约束”还将指定有效证书链的最大深度。

尽管它是重复的，但您需要根据 RFC 3280 --- 指定两者X.509。
这是 RFC（第 29 页）中的相关段落：

当主题公钥是时，keyCertSign 位被置位。
用于验证公钥证书上的签名。如果
keyCertSign 位被置位，然后基本中的 cA 位
约束扩展（第 4.2.1.10 节）也必须被断言。

Answer 2

密钥用途描述了证书的预期用途。

基本约束扩展描述了顶部证书的证书链的深度。换句话说，当颁发子 CA 证书时，CA 使用此扩展来限制其子 CA 的活动。如果顶级 CA 获得子 CA ，则它允许子 CA 颁发最终用户证书，但不允许子 CA 拥有自己的子 CA。