場合によります。X.509v3証明書には通常、許可された使用法(EKU)のリストを含む「拡張キー使用法」拡張フィールドが付属しています。
通常の「Webサーバー」SSL証明書には両方の使用法が含まれることが非常に一般的です。たとえば、Let's EncryptおよびDigiCertによって発行された証明書を調べています。 。
ただし、他の一部のCA、特に民間組織のCAでは、ほとんどの証明書にどちらか一方の使用法がありますが、両方が使用されることはほとんどありません。
たとえば、OpenVPNは(他のプログラムのように「少なくとも TLSクライアント」ではなく)「TLSクライアントのみ」を厳密に必要とするため、スクリプトはサーバーのみの証明書とクライアントのみの証明書を発行しますが、混合証明書は発行しません。easy-rsa
そのため、証明書を調べて、必要なEKUが含まれていることを確認する必要があります。実際に仕事をするすべての証明書ツール-たとえばでは、証明書のプロパティのWindowsでダイアログが、意志のWebブラウザとして、「V3拡張機能」の下にこれを示すだろうopenssl x509
、certtool
、certutil
など、
独自の内部CAを実行している場合も覚えておく必要があります。中間CA証明書を使用する場合は、それに注意を払ってください。中間体は、EKU拡張子を持つ必要はありませんが、彼らは次の場合に行うことがあり、その中間で発行されたすべての証明書は、それによって制約されています。(商業的に証明書を取得する場合、心配する必要はありません。)
さらに、証明書にはいくつかの非常に一般的な制限を含む基本的な「キー使用法」フィールドがあります。たとえば、「デジタル署名」は、証明書がデータに署名できることを意味します 「鍵合意」は静的DH / ECDH用であるようです。「キー暗号化」は、静的RSAハンドシェイクを許可します。
公式のX.509v3ドキュメントは、次の場合に必要な使用法が非常にわかりにくいです。商用CAは通常、このフィールドを正しく取得します。ただし、プライベートCAについては、再確認する価値があります。