Расширение для использования ключей OpenSSL CA
Я хочу создать цепочку сертификатов с самозаверяющим корневым центром сертификации вверху, который подписывает вспомогательные центры сертификации, которые затем могут подписывать сертификаты клиента и сервера. При настройке openssl.cnf
я заметил параметр keyUsage
, для которого, по-видимому, необходимо установить значение, для которого предполагается использовать ключ. Хотя значения параметров задокументированы, я не могу найти никакой информации о том, какие из них следует использовать в определенных обстоятельствах.
Что означают значения keyUsage
и что я должен использовать в следующих ситуациях?
- Самозаверяющий корневой центр сертификации
- Промежуточный центр сертификации (который может подписывать другие центры сертификации)
- Промежуточный центр сертификации (который не может подписывать другие центры сертификации)
- Сертификаты, не относящиеся к ЦС
Кроме того, нужно ли указывать другие расширения с определенными значениями, такими как nsCertType
?