[1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile () <https://tools.ietf.org/html/rfc5280#section-4.2.1.9>
[2] 証明書のデジタル署名の検証に用いられる公開鍵を含むCA証明書においては、 必須であり、 critical としなければなりません >>1。
[3] その他の用途 (CRL の署名など) の CA証明書や、 EE証明書では必須ではなく、 critical でも non-critical でも構いません >>1。
[4]
OpenSSL の設定ファイルでは
critcal,CA:TRUE,pathlen:4
のようにして設定できます。