关于X.509V3公钥证书的扩展项

一般人对证书的其它各项比较熟悉，但对它的扩展项却比较陌生一些。那么这些扩展项都有什么作用呢？事实上，这些扩展项共有如下几类：

   ◆Authority密钥标识符—证书所含密钥的唯一标识符，用来区分同一证书拥有者的多对密钥。
   ◆密钥使用—一个比特串，指明（限定）证书的公钥可以完成的功能或服务，如：证书签名、数据加密等。
   ◆扩展密钥使用—由一个或多个对象标识符（OIDs）组成，可以说明证书密钥的特殊用途。有Internet策略限定，存取描述符限定[3]等，请参见RFC2459。
   ◆CRL分布点—指明CRL的分布地点。
   ◆私钥的使用期—指明证书中与公钥相联系的私钥的使用期限，它也有Not Before和Not After组成。若此项不存在时，公私钥的使用期是一样的。
   ◆证书策略—由对象标识符和限定符组成，这些对象标识符说明证书的颁发和使用策略有关。
   ◆策略映射—表明两个CA域之间的一个或多个策略对象标识符的等价关系，仅在CA证书里存在。
   ◆主体别名—指出证书拥有者的别名，如电子邮件地址、IP地址等，别名是和DN绑定在一起的。
   ◆颁发者别名--指出证书颁发者的别名，如电子邮件地址、IP地址等，但颁发者的DN必须出现在证书的颁发者字段。
   ◆主体目录属性—指出证书拥有者的一系列属性。可以使用这一项来传递访问控制信息。

在制作证书时，这些扩展项可添可不添，根据你实施CA的具体策略而定，比如说如果你的CRL发布点是一个Web网页，那么你就可以在证书中的CRL分布点一项添上你的网页地址。