4.1.2.9. 扩展 该字段必须仅在版本为 3 时出现（第 4.1.2.1 节）。 如果存在，该字段是一个或多个证书扩展的序列。 Internet PKI 中证书扩展的格式和内容在第 4.2 节中定义。

为 X.509 v3 证书定义的扩展提供了将附加属性与用户或公钥相关联以及管理 CA 之间关系的方法。 X.509 v3 证书格式还允许社区定义私有扩展以携带这些社区独有的信息。 证书中的每个扩展都被指定为关键或非关键。 如果使用证书的系统遇到它无法识别的关键扩展或包含它无法处理的信息的关键扩展，则它必须拒绝该证书。 非关键扩展如果未被识别则可以被忽略，但如果被识别则必须被处理。 以下部分介绍了在 Internet 证书和标准信息位置中使用的推荐扩展。 社区可以选择使用额外的扩展； 然而，在证书中采用任何可能阻止在一般情况下使用的关键扩展时，应谨慎行事。

每个扩展都包含一个 OID 和一个 ASN.1 结构。 当扩展出现在证书中时，OID 显示为字段 extnID，相应的 ASN.1 DER 编码结构是八位字节字符串 extnValue 的值。 证书不得包含特定扩展的多个实例。 例如，证书可能只包含一个授权密钥标识符扩展（第 4.2.1.1 节）。 扩展包括布尔值 critical，默认值为 FALSE。 每个扩展的文本指定了符合此配置文件的 CA 的关键字段的可接受值。

扩展的extnValue都是OCTET STRING

 

 

 

 AuthorityKeyIdentifier

 

 subjectKeyIdentifier

 keyUsage

 

certificatePolicies
 

 CRL Distribution Points