问确定X.509证书类

EN

证书“类”本质上是一个营销术语。每个CA都可以自由地调用一些证书“0”或“1类”或其他什么，大致意思是“我颁发了该证书，但我没有费心检查”或“这一次我做了一些检查，因为所有者为此支付了足够的钱”。

理论上，根据X.509规则，“类”应该在证书中编码为证书政策扩展: CA可以将一些指定用于颁发证书的过程的OID放在那里。然而，这些OID是特定于CA的，并且只能通过查看认证实践声明来理解，这是一份看似合法的文档，它可能或不被CP扩展引用，并且通常是一个200页的PDF文件，它不能被计算机消化，只能由人(或律师)来解析。

最近，一些商业CA和浏览器供应商就扩展验证证书达成了一些协议，这可以被认为是“上层”证书( CA在此过程中实际应用了一些注意的证书)，并且确实是通过CP扩展来标识的。然而，相对于客户端(Web浏览器)预先知道的“EV兼容策略OID”(它是由浏览器供应商维护的)，标识仍然是相对的。

所谓“类”，我认为您指的是“扩展密钥使用”，特别是应用程序(电子邮件、web浏览器、智能卡、IPSec等)使用该属性来确定该证书允许做什么。

可以在根CA或其下面的任何subCA上指定EKU。无论在何处定义EKU，下面的所有用法都应继承该限制.同样，这是特定于实现的。

在我的测试中，SMIME签名和验证是在客户端应用程序中强制执行的，HTTPS证书也是如此(也称为服务器身份验证)

要查看将证书设置为什么，只需在证书存储区中打开它，或者将内容转储出来，您将看到一个称为“扩展密钥使用”的部分。

您看到的所有其他属性(包括基本约束)也限制了是否允许给定证书签署子证书.这是CA在授予您的证书时所做的定义。