证书关键字

自签名CA

keyUsage: cRLSign​, digitalSignature​, keyCertSign​

中间CA

keyUsage: cRLSign​, digitalSignature​, keyCertSign​

服务器

keyUsage: nonRepudiation​, digitalSignature​, keyEncipherment​, keyAgreement​

VPN客户端

keyUsage: nonRepudiation​, digitalSignature​, keyEncipherment​

文档签名

keyUsage: nonRepudiation​, digitalSignature​

keyCertSign

公钥用来验证证书的签名，只有CA证书才用这个

cRLSign

公钥用来验证撤销信息，也是只有CA证书才用这个

digitalSignature

证书可以用来做数字签名，数字签名通常用于实体认证和数据源完整性认证

nonRepudiation

用于签名的同时，公钥用于不可否认

keyEncipherment

证书用于加密对称密钥，然后将密钥送给对面

dataEncipherment

证书用于加密和解密实际应用数据

keyAgreement

证书可用于与对面协商对称密钥

https://superuser.com/questions/738612/openssl-ca-keyusage-extension

技术支持： OceanPress | 开发者： 崮生（子虚）