[1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2015-02-22 15:44:10 +09:00 版) https://tools.ietf.org/html/rfc5280#section-4.2.1.3
[2] 証明書や CRL のデジタル署名の検証につかうCA証明書は、 含めなければなりません >>1。
[3] critical とするべきです >>1。
[4] CA証明書は keyCertSign と cRLSign を指定することが多いようです。 それに加えて digitalSignature を指定することもあるようです。
keyCertSign
cRLSign
digitalSignature
[5] EE証明書は digitalSignature と keyEncipherment を指定することが多いようです。
keyEncipherment