ssl - 用于 TLS/SSL 和身份(签名)的证书之间有区别吗？

Question

证书之间有区别吗，比如说来自 Apple 的签名或 Let's Encrypt 的 TLS/SSL？它们是可互换的，还是在生成时是否具有特定的参数，使一个对 ID 有用，一个对加密有用？

Answer 1

根据您的意思，它们要么完全相同，要么不同。 (语言不是很伟大吗？)
代码签名证书和 TLS 服务器证书和 TLS 客户端证书都是 X.509 公钥证书，由 IETF RFC 5280 描述和 ITU-T X.509 (名称从何而来)。
在证书中有一组(n 个可选)扩展(定义明确的扩展是对先前数据版本的刚性结构的扩展)。这些扩展之一称为扩展 key 使用(令人困惑的是，它在 .NET 中由 X509EnhancedKeyUsageExtension 描述)，通常缩写为 EKU。 EKU 扩展只是一个标识符列表，用于指示证书有效的用途。 (像 CA/浏览器论坛这样的组织提出了在允许声明每种特定类型的目的之前 CA 必须做什么的规则。)
我在 stackoverflow.com 看到的当前证书有两个列出的用途:1.3.6.1.5.5.7.3.1和 1.3.6.1.5.5.7.3.2 .但是，这些标识符对普通人群来说意义不大，因此许多系统将用更友好的名称替换它们。 Firefox 89 的描述是“服务器认证，客户端认证”。
TLS/SSL 对 EKU 采取宽松的方法:如果证书具有 EKU 扩展，则必须存在 TLS 服务器 (1.3.6.1.5.5.7.3.1) 或 TLS 客户端 (1.3.6.1.5.5.7.3.2) 目的(它所扮演的角色的正确一个)，但如果 EKU 扩展不存在，则证书是可以接受的。
RFC 3161 Timestamping不那么松懈。它要求证书具有包含目的 1.3.6.1.5.5.7.3.8 的 EKU 扩展(并且只有其中一个，可以包含多个用途值)。 , 在 section 2.3 .
因此，差异仅在于 EKU 值。

TLS 服务器:1.3.6.1.5.5.7.3.1

TLS 客户端:1.3.6.1.5.5.7.3.2

代码签名:1.3.6.1.5.5.7.3.3

时间戳:1.3.6.1.5.5.7.3.8

还有很多其他通用的，例如 1.3.6.1.4.1.311.10.3.5(Microsoft Windows 硬件质量实验室驱动程序验证)，它们并非都以“1.3.6.1.5.5.7.3”开头。 (尽管有很多常见的)。