Extension d'utilisation de clés OpenSSL CA
Je veux configurer une chaîne de certificats, avec une autorité de certification "racine" auto-signée en haut qui signe des sous-autorités de certification, qui peuvent ensuite signer des certificats client et serveur. Lors de la configuration de openssl.cnf
, j'ai remarqué un paramètre keyUsage
, qui doit apparemment être défini sur la clé pour laquelle la clé est censée être utilisée. Bien que les valeurs des paramètres soient documentées, je ne trouve aucune information sur celles à utiliser dans certaines circonstances.
Que signifient les valeurs keyUsage
et que devrais-je faire utilisez-vous dans les situations suivantes?
- CA racine auto-signée
- CA intermédiaire (qui peut signer d'autres CAS)
- CA intermédiaire (qui ne peut pas signer d'autres CA)
- Certificats non-CA
De plus, d'autres extensions doivent-elles être spécifiées avec certaines valeurs, telles que nsCertType
?