DLMS/COSEM中的信息安全:安全密钥(中)续2
2.4.4证书扩展
2.4.4.1 综述
为X.509 v3证书定义的扩展提供了将附加属性与用户或公钥进行连接以及管理CA之间的关系的方法。证书中的每个扩展名都指定为关键(TRUE)或非关键(FALSE)。
扩展字段应根据所使用的证书类型完成,如表18所示。
2.4.4.2 权限密钥标识符
——扩展ID(OID):2.5.29.35;
——关键:FALSE;
——描述:AuthorityKeyIdentifier扩展提供了一种识别与用于签署证书的私钥对应的公钥的方法;
——值:AuthorityKeyIdentifier字段。
keyIdentifier字段的值需要计算:
——使用RFC5280:2008,4.2.1.2定义的方法1,即KeyIdentifier由BIT STRING SubjectPublicKey(不包括标签、长度和未使用位数)的160位SHA-1散列组成;
——使用RFC5280:2008,4.2.1.2中定义的方法2,即keyIdentifier由四位类型字段组成,值为0100,后跟BIT STRING subjectPublicKey(不包括标签、长度和未使用位数)的SHA-1哈希值的最低有效60位。
2.4.4.3 SubjectKeyIdentifier
——扩展ID :2.5.29.14;
——关键:FALSE;
——描述:SubjectKeyIdentifier扩展提供识别包括特定公钥的证书的方法;
——值:SubjectKeyIdentifier扩展应包括keyIdentifier字段。
2.4.4.4 KeyUsage
——扩展ID(OID):2.5.29.15;
——关键:TRUE;
——描述:KeyUsage扩展名定义了包含密钥的证书的用途;
——值:要设置的位如表19所示。
2.4.4.5 CertificatePolicies
——扩展ID(OID):2.5.29.32;
——关键:FALSE;
——描述:证书策略扩展包含一个或多个策略信息项的序列,每个策略信息项由对象标识符(OID)和可选限定符组成;
——值:包含适用的证书策略的OID。
2.4.4.6 SubjectAltNames
——扩展ID(OID):2.5.29.17;
——关键:TRUE如果证书的“subject”字段为空(空的序列),则为FALSE。
——描述:此扩展允许将身份绑定到证书的主题。这些身份可以包括在证书的主题字段中的身份或代替身份的身份。如果主题名称是空的序列,那么subjectAltName扩展将被添加到最终实体签名和密钥建立证书中,并将其标记为关键。subjectAltName扩展名是可选的,如果包含,则应标记为关键。
——值:见表20。
2.4.4.7 IssuerAltName
——扩展ID(OID):2.5.29.18;
——关键:FALSE;
——描述:该扩展用于将Internet风格表示与证书颁发者相连接;
——值:见表21。
2.4.4.8 基本限制
——扩展ID(OID):2.5.29.19;
——关键:TRUE;
——描述:基本约束扩展标识证书是否为CA,还包括包含此证书的有效认证路径的最大深度;
——值:见表22。
2.4.4.9 Extended Key Usage
——扩展ID(OID):2.5.29.37;
——关键:FALSE;
——描述:表示可以将证书用作TLS服务器证书;
TLS服务器认证OID:1.3.6.1.5.5.7.3.1;
TLS客户机认证OID:1.3.6.1.5.5.7.3.2;
2.4.4.10 cRLDistributionPoints
——扩展ID(OID):2.5.29.31;
——关键:FALSE;
——描述:CRL分发点扩展表示如何或得CRL信息;
——该扩展不在DLMS/COSEM服务器证书中使用。
2.4.4.11其他扩展
此配置文件中未描述的所有其他扩展应视为OPTIONAL;它们的包含或排除及其值将取决于具体应用或PKI配置。