安全性


金鑰用法延伸及延伸金鑰用法
金鑰用法延伸

金鑰用法延伸定義包含在憑證中之公開金鑰的用途。您可以使用它們將公開金鑰限制到所需要的任何作業數目。例如,如果您讓金鑰僅用於簽認,請啟動數位簽名及/或不拒絕延伸。或者,如果金鑰僅用於金鑰管理,請啟動金鑰加密。

下表說明使用 CA 程序所建立之金鑰可使用的金鑰用法延伸。

附註 根據預設,會為所有的網際網路憑證啟動數位簽名及資料加密金鑰用法延伸。
金鑰用法延伸說明
數位簽名在公開金鑰與數位簽名機制搭配使用時使用,以支援除不拒絕、憑證簽認或 CRL 簽認之外的安全性服務。數位簽名常用於透過完整性來進行實體鑑定及資料來源鑑定。
不拒絕在使用公開金鑰驗證用於提供不拒絕服務的數位簽名時使用。不拒絕可避免簽認實體錯誤地拒絕部份動作 (排除憑證或 CRL 簽認)。
金鑰加密在將憑證與加密金鑰的通訊協定搭配使用時使用。範例是 S/MIME 封裝,其中快速 (對稱) 金鑰是從憑證使用公開金鑰加密的。SSL 通訊協定亦執行金鑰加密。
資料加密在公開金鑰 (而不是加密金鑰) 用於加密使用者資料時使用。
金鑰協定在公開金鑰的寄件人及收件人需要不使用加密而衍生金鑰時使用。此金鑰還可用於加密寄件人與收件人之間的訊息。金鑰協定通常與 Diffie-Hellman 密碼搭配使用。
憑證簽認在主旨公開金鑰用於驗證憑證上的簽名時使用。此延伸僅在 CA 憑證中使用。
CRL 簽認在主旨公開金鑰要驗證革新資訊 (如 CRL) 上的簽名時使用。
僅限加密只在金鑰協定也啟動時使用。這可讓公開金鑰在執行金鑰協定時僅用於加密資料。
僅限解密只在金鑰協定也啟動時使用。這可讓公開金鑰在執行金鑰協定時用於僅用於解密資料。

延伸金鑰用法

延伸金鑰用法進一步調整金鑰用法延伸。延伸金鑰可能很重要也可能不重要。如果延伸重要,則憑證必須 僅使用於所指定的一或多個目的。如果憑證用於其他目的,則違反 CA 政策。

如果延伸不重要,則它會指出金鑰之指定的一或多個目的,且可能用於尋找有多個金鑰/憑證之實體的正確金鑰/憑證。延伸僅是參考欄位,而不表示 CA 會將金鑰的使用限制於指出的目的。不過,為了接受憑證,使用憑證的應用程式可能需要指出特定的目的。

如果憑證包含重要的金鑰用法欄位及重要的延伸金鑰用法欄位,則必須 單獨處理這兩個欄位,憑證僅使用於與這兩個欄位一致的目的。如果沒有與這兩個欄位一致的目的,則憑證不得 用於任何目的。
延伸金鑰啟動這些金鑰用法延伸
TLS Web 伺服器鑑定數位簽名、金鑰加密或金鑰協定
TLS Web 用戶端鑑定數位簽名及 (或) 金鑰協定
簽認 (可下載) 可執行檔程式碼數位簽名
電子郵件保護數位簽名、不拒絕,及 (或) 金鑰加密或金鑰協定
IPSEC 終端系統 (主電腦或路由器)數位簽名及 (或) 金鑰加密或金鑰協定
IPSEC 通道數位簽名及 (或) 金鑰加密或金鑰協定
IPSEC 使用者數位簽名及 (或) 金鑰加密或金鑰協定
時間戳記數位簽名、不拒絕。

必要金鑰用法延伸的範例
應用程式必要的金鑰用法延伸
SSL 用戶端數位簽名
SSL 伺服器金鑰加密
S/MIME 簽認數位簽名
S/MIME 加密金鑰加密
憑證簽認憑證簽認
物件簽認數位簽名
另請參閱