[9] 証明書拡張 extended key usage は、証明書に含まれる公開鍵の用途を記述するものです。
[13] critlcal でも non-critical でも構いません >>1。
[10] id-kp-serverAuth
, id-kp-clientAuth
などの値が RFC 5280 で定義されています。
[6] BR に従う下位CA証明書は id-kp-serverAuth
と
id-kp-clientAuth
の一方または両方を含めなければなりません。
他の値も含めても構いません。本拡張は non-critical とするべきです。 >>4
[8] BR に従うSubscriber Certificate は、id-kp-serverAuth
と
id-kp-clientAuth
の一方または両方を含めなければなりません。
id-kp-emailProtection
も含めることができます。
それ以外は含めるべきではありません。 >>4
[14]
多くの中間証明書やEE証明書は
serverAuth
と
clientAuth
を含んでいるようです。
つまり、ExtendedKeyUsageにserverAuthが無いものをサーバ証明書として使った場合、
opensslは無視する
InternetExplorerはちゃんと守る
という動作をすることになります。
試しにcriticalに設定してみました。
extendedKeyUsage = critical, clientAuth, emailProtection, msSmartcardLogin
これの設定でサーバ証明書を発行し、Apacheに組み込みます。
そして、前述の原因調査と同様にアクセスしてみました。
結果は・・
Apacheは立ち上がった
IEはダメ
opensslではアクセスできた
[11] trust bits も参照。