云南省住房和城乡建设厅官方网站,网站哪里可以查到做ddos,暴雪国服官网入口,厦门制作公司网站配置文件
配置文件是OpenSSL的一个基础结构组件#xff0c;OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf#xff0c;它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外#xff0c;OpenSSL还提供了其他一…配置文件
配置文件是OpenSSL的一个基础结构组件OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外OpenSSL还提供了其他一些部分的配置文件用于专门配置证书请求或者X.509v3证书的扩展项。OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说每个字段的开始使用[Section_Name]来标识直到下一个字段开始或者到达文件结尾为一个字段的结束。字段的名字可以由字符、数字或者下划线组成。需要注意的是OpenSSL的第一个字段是比较特殊的它不像其他的字段有名字和类似[Section_Name]的开头。OpenSSL第一个字段被设置为OpenSSL的默认字段当OpenSSL CONF函数要读取配置文件数据的时候首先会根据字段的名字去查找相应的字段如果没有找到则会定位到默认的字段也即第一个字段。每个字段包含一组不定数量的变量名和值域数据对它们的形式如下: 变量名 变量值支持 \n \r 等转义符号 使用双引号 引号内的空格不会被忽略如果是 变量名 变量值的方式 变量值前面的空格会被忽略支持 变量值域还支持其他变量值的展开默认值一定要在变量展开之前定义否则无效 openssl.cnf是OpenSSL提供的主配置文件它的结构和语法完全遵循上述介绍的OpenSSL配置文件的结构和语法。一般来说它位于OpenSSL软件包的apps目录下读者可以使用普通的文本浏览工具打开和编辑该文件。目前openssl.cnf用于req、ca和x509等指令中所有使用openssl.cnf的指令都是通过config选项来指定配置文件如果你不指定默认的就是openssl.cnf文件。当然并非任何时候都能成功找到opensl.cnf文件这取决于你是否合理编译和安装了OpenSSL。openssl.cnf文件的内容包括了三大部分:默认的文件配置、证书请求配置及证书签发配置。事实上OpenSSL的配置文件应用远远不止于此你甚至可以在使用OpenSSL函数库的时候使用这种方便的配置机制。在后面的章节中你还会看到如何使用配置文件灵活配置X.509证书的扩展项。
配置文件中的通用变量配置
openssl.cnf文件配置了一些可能用到的通用变量这些变量数量很少基本上都是位于openssl.cnf文件的主字段部分即默认字段部分
随机数默认文件
HOME.
RANDFILE$ENV::HOME/.rnd
RANDFILE变量是用来设置可能用到的随机数文件这个文件通常用作生成随机数的种子文件。随机数在密码学中具有重要的意义通常随机数的好坏可以对密钥的安全性产生很大的影响。大家可以看到在RANDFILE变量之前还定义了HOME变量这主要就是为了防止环境变量ENV中不存在HOME变量(如Windows系统)的时候可能导致的错误
扩展对象的定义
扩展对象定义有时候可能要使用一些扩展对象定义比如在使用X.509证书的扩展项的时候这些扩展项的对象可能在OpenSSL中并没有进行定义那么就要对扩展对象进行定义。对扩展对象的定义通常包含三个部分:对象数字形式的OID、对象简称和对象详细描述。OpenSSL以两种方式定义扩展对象:扩展对象文件方式和在配置文件中使用特定字段方式。扩展对象文件的指定使用OpenSSL默认字段中的oid_file变量形如下面的格式:oid_file $ENV::HOME/.oid打开openssl.cnf文件可以看到在默认的openssl.cnf文件中该语句是被注释掉的。其中的.oid即为扩展对象定义文件。扩展对象定义文件每一行定义一个对象格式一般如下:扩展对象还可以在配置文件中的一个字段中定义这个特定的字段通过oid_section变量来指定变量值为字段名。其格式如下: oid_section new_section读者从默认的openssl.cnf中可以看到其没有定义任何扩展对象如果要使用扩展对象读者可以参照上面的方法自己定义新的对象。扩展对象字段的变量对通常由扩展对象简称和扩展对象OID组成在这种方式中扩展对象详细描述跟扩展对象简称是相同的下面是一个扩展对象使用字段定义的例子:
[new_section]
oid_ext1 2.99999.1
oid_ext2 2.99999.2
配置文件中的证书请求配置
(1)证书请求主配置字段在申请证书之前通常要生成符合PKCS#10标准的证书请求封装格式。OpenSSL的req指令实现了产生证书请求的功能其相关选项的信息就采用OpenSSL配置文件来进行设置。OpenSSL中证书请求的配置分成几个字段包括一个基本字段和几个附属的字段。OpenSSL配置文件中名为req的字段是证书配置请求的基本字段也是使用证书请求配置的入口而其他附属字段都是以这个字段作为引导的。目前默认openssl.cnf文件证书请求配置字段已有的选项如下。
[req]
default_bits 1024
default_keyfile privkey.pem
distinguished_name req_distinguished_name
attributes req_attributes
x509_extensions v3_ca
input_password secret
output_password secret
string_mask nombstr
req_extensions v3_req
上述选项并非所有都使用了比如input_password和output_password就已经被注释。因为req指令还可以生成RSA密钥对所以default_bits选项指定了默认生成密钥的长度default_keyfile则指定了默认的私钥输出保存文件。input_password和output_password分别提供了默认的输入私钥保护口令和输出私钥保护口令。string_mask选项则是设定了证书请求的信息字段的字符串类型。distinguished_nameattributesx509_extensions和req_extensions的值域都是字段名指定了包含相应信息的字段名字。事实上与证书请求相关的配置文件选项远远不止这些如表所示列出了OpenSSL配置文件中目前支持的证书请求参数及其意义这些参数基本上跟req指令中同名的参数选项作用是相同的通常如果req指令设置了同名选项则配置文件的默认值将不会被使用否则就使用配置文件的默认值。从表可以看到虽然证书请求字段支持oid_fileoid_section及RANDFILE等参数但是默认的opensl.cnf文件并没有这些选项根据使用OpenSSL配置文件的规则配置文件的读取函数将使用主字段也就是配置文件默认字段中同名的参数。
(2)特征名称字段
特征名称字段由req字段中的distinguished_name指定它包含了用户的主要信息如国家、省份、城市、组织及名字等信息如果两个证书的特征名称字段所有参数值都相同一般就可以看成是同一个用户所以该字段所有信息的总和称为“特征名称”。特征名称字段允许的变量名可以是任何对象的简称或详细描述名称。有些对象在OpenSSL里面已经编译进去比如commonNamecountryNamelocalityNameorgani-zationNameorganizationUnitName和stateOrPrivinceName。此外emailAddresnamesurnamegivenNameinitials和dnQualifier等也在OpenSSL里面做了定义。特征名称字段还可以包含自定义的扩展对象名这些扩展对象可以在扩展对象文件(oid_file)或者扩展对象字段(oid_section)中定义一般来说扩展对象的值类型都被默认为是DirectoryString。根据证书请求配置字段中变量prompt的值的变化特征名称字段变量定义的格式有两种。如果prompt的值设为no那么特征字段中每个条目只是简单包含了变量名和对应的变量值通常有如下形式:
CN My Name
OU My Organiaztion
emailAddress someonesomewhere.org
在这种情况下不会要求用户再输入这些对象的域值而只是简单地将配置文件中相应的值复制过去。相反如果prompt没有定义或者其值没有设置为no那么特征名称字段一个变量域的属性就会包含输入信息的属性一般包含了类似下面的格式:
filedName prompt
filedName_default default filed vlaue
filedName_min 2
filedName_max 4
其中fieldName是对象的简称或者详细描述如CN或者commonName。“prompt”是要求用户输入变量值的时候显示的提示信息;fieldName_default的值定义的是默认的变量值;fieldName_min和fieldName_max定义了变量值字符串最小的长度和最大的长度。事实上这四个项目除了第一个其他都是可选的。对一个变量来说用户如果没有输入任何信息会使用默认的变量值;如果定义了默认变量值但是用户输入了“.”号该变量域就会被忽略和取消不会被包含在证书请求中;如果用户没有输入任何信息也没有在配置文件定义默认值那么该变量域也会被忽略和取消。输入的变量值字符串的长度必须在配置文件定义的最小长度和最大长度之间这给一些变量值做了额外的限制比如国家(C)其值一般就定义为2个字符串。那么如果输入的值不是两个字符串长度就会被拒绝接受。有些变量比如organizationName在特征名称字段可能会不止一个但是OpenSSL的配置文件只会加载同名变量的最后一个变量。为了避免这种情况可能导致的数据丢失OpenSSL规定了在特征名称字段中如果字符后面跟着点号(“.”)那么该字符就被忽略。比如a.fieldName和b.fieldName在OpenSSL中都认为是名为fieldName的对象。这样就可以将相同变量名出现多次的情况区别开来而不会因为相同被OpenSSL配置文件的读取函数忽略从而保证多个变量值的情况能够被正确输入到证书请求的特征名称中。例如对于有两个organizationName变量的情况可以使用如下的格式:0.organizationName 1.organizationName
(3)证书请求属性字段 证书请求属性字段由req字段中的atributes变量指定它定义了一些在CA签发证书的时候可能用到的属性值现在典型的应用字段是challengePassword和unstructured-Name。chalengePasword一般是在用户获取CA签发的证书的时候验证用户时使用的而unstructuredName则是一个可选的别名。这些属性目前对于OpenSSL的应用程序来说都被忽略了但是有些CA是要求这些属性的。证书请求属性字段的格式跟特征名称字段的格式相同也会受到prompt的值的影响使用方法可以参考特征名称字段的格式介绍。
(4)证书请求扩展字段 证书请求扩展字段由req字段中的req_extensions变量指定它定义了要加入到证书请求中的扩展项。该字段的格式跟证书扩展字段的格式基本是一致的目前主要用来定义X.509v3的扩展项。
配置文件中的证书签发配置
(1)CA主配置字段配置文件中CA主配置字段设置了OpenSSL的CA指令默认的选项值对CA指令的行为有很大的影响。不过CA主配置字段并不是OpenSSL配置文件中名为“ca”的字段ca字段只是通过default_ca变量给OpenSSL应用程序提供了CA主配置字段的入口即告诉CA指令配置文件中哪个字段是用作CA主配置字段比如在默认的opensl.cnf文件中CA主配置字段就是CA_default字段。当然应用程序(如CA指令)也可以通过自己的选项.name来选择CA主配置字段。CA主配置字段的信息主要包括CA指令配置文件、CA签发证书的限制和策略以及指定CA扩展项字段。一个相对比较完整的CA主配置字段看起来如下。一个实际的 CA 主配置字段不一定要出现所有这些变量。这些变量的作用跟同名应用指令的选项的作用经常是一样的但是指令选项的优先级一般来说比配置文件的要高。 如表所示是目前支持的CA主配置字段参数 表中oid_file和oid_section参数一般都不会出现在CA主配置字段中也就是说一般都使用配置文件默认字段中的oid_file和oid_section的值。default_startdate和default_enddate的格式是YYMMDDHHMMSSZ是UTCTime结构表示的是标准的格林威治时间。各个位的意义如表所示。比如2003年8月6日上午9时30分44秒则表示为:030806093044Z。 2请求信息匹配策略字段
证书请求信息的匹配策略字段由CA主配置字段的policy参数指定。该字段包含了一组跟证书特征名称(DN)域相关的变量。变量的名称是DN域对象的名称变量值可能为optoinalsupplied或match。下面是一个匹配策略字段的实例:
[policy_match]
countryName match
stateOrProvinceName match
organizationName match
organizationUnitName optional
commonName supplied
emailAddress optional
如果在匹配字段中一个变量的值是match那么该变量在证书请求中的值必须跟CA证书相应的变量值完全相同否则就会被拒绝签发比如上述的conutryName的匹配策略是match那么如果CA证书的countryName(C)是“CN”那么证书请求中的countryName就也必须要求是“CN”。如果在匹配策略字段中一个变量的值是supplied那么证书请求中必须提供该变量值否则也会被拒绝签发但是变量值可以不同。如果在匹配策略字段中一个变量的值是optional那么证书请求中可以提供该变量也可以没有该变量。一般来说如果证书请求DN域中出现了证书请求匹配策略中没有的变量签发证书的时候会被自动删除。但是如果使用了preserve选项并设置其值为yes或者在CA指令中使用了-preserveDN选项则匹配策略中没有的变量也会被保留下来。
(3)扩展项字段
CA主字段中包含了两个指向扩展项字段的变量:x509_extensions和crl_extensions它们都指向一个包括了X509v3证书扩展项信息的字段从格式和本质上来说它们都是统一的都是为了添加X509v3证书扩展项功能的。与此相同的还有证书请求配置中的req_extensions变量指向的证书请求扩展字段。
配置文件中X.509v3证书扩展项
1.扩展项字段应用概述
X.509v3证书已经得到了广泛应用其最大的特色就是增加了扩展项的支持。在OpenSSL中除了可以在指令中使用参数来指定扩展项的配置更通常使用的是在配置文件中配置扩展项的各个参数。X.509v3扩展项不仅仅可以添加到证书中也可以添加到证书请求和证书吊销列表(CRL)中。在OpenSSL配置文件中针对不同的应用有不同的X.509v3扩展项字段的入口。如果要在使用ca指令的时候添加证书扩展项字段那么应该使用CA主配置字段的x509_extensions变量;如果要在证书请求中添加证书扩展项字段那么就应该使用证书请求配置主字段的req_extensions变量;如果要在CRL中添加证书扩展项那么就应该使用CA主配置字段的crl_extensions变量。此外OpenSSL的x509指令使用的证书扩展项字段是以配置文件默认字段的extensions变量为入口的而证书请求配置主字段的x509_extensions变量则为使用req指令签发自签名证书提供了扩展项字段的入口。
2.扩展项字段变量的格式
扩展项字段的变量的格式是相同的都具备如下的基本格式extension_name [critiacl, ] extension_options上述的critical是可选的一旦变量标记为critical即标记该选项为关键选项那么要求就会非常严格。理论上任何客户端一旦不能理解标记了critical的扩展项就应该将该证书视为无效所以在使用critical的时候要非常谨慎。有些不规范的软件甚至会将任何包含了critical标记的证书都视为无效。
扩展项有三种基本的类型:字符串扩展项、多值扩展项和原始扩展项。
字符串扩展项很简单它的值域仅仅包含一个字符串作为值或者作为行为方式的描述比如: nsComment This is a Comment多值扩展项有两种方式:短型和长型。短型的多值扩展项值域是一系列名字和对应值的列表中间用逗号隔开而名字和值中间使用“:”隔开比如:basicContraints critical,CA:true,pathlen:1长型的多值扩展项允许将真正的值域放置在单独的字段中比如上述的变量也可以写成如下的形式:
basicContraints critical,bs_section
[bs_section]
CA true
pathlen 1
短型的多值扩展项和长型的多值扩展项是完全等价的使用任何一种都可以。但是 有时候值域里面一个变量会出现两次这种情况下对长型的多值扩展项就需要做一些处 理。比如下面的多值扩展项变量:subjectAltName email:dragonkinghere,email:dragonkingthere值域中email变量出现了两次如果用长型的多值扩展项方式表示就不能简单把它们列举成:
subjectAltName alt_section
[alt_section]
email dragonkinghere
email dragonkingthere
如果以上述的方式表示那么alt_section字段的第一个email变量就会被OpenSSL的配置文件读取函数忽略因为根据OpenSSL的规则同一字段出现同名变量那么就只有最后一个有效。所以为了避免这种请求通常我们采取下面的形式:
subjectAltName alt_section
[alt_section]
email.0 dragonkinghere
email.1 dragonkingthere
这样我们就能保证同名变量的所有信息都能正确加入到证书相应的域中。原始扩展项顾名思义它采用了原始的数据(如对象的OID)而不是可读数据来表示变量名或变量值该方式也支持多个值中间可以用“”分开。这种方式的使用应该要非常谨慎否则就可能导致无效的变量对象声明。比如:certificatePolicies 1.2.3.5,1.1.3.4甚至还可以在变量域中使用DER编码的特定对象OID这需要通过DER标识来声明比如:certificatePolicies 1.2.3.5,1.1.3.4DER后面的数据是经过DER编码并使用十六进制表示的对象OID除非不得已而为之否则难以令人理解
3扩展项字段变量种类
X.509v3证书的扩展项的主要目的是为了能够对证书和其相关私钥的用途和使用方法做出限制从而提高证书的可管理性。下面将以分类的方式来介绍目前支持的扩展项变量这些变量名称如果是“ns××××”的形式则一般是Netscape定义的扩展项而不是这个形式的则一般是PKIX定义的扩展项。表格列出了目前OpenSSL配置文件支持的扩展项。事实上这里列出的扩展项只是OpenSSL支持的在配置文件中设置的选项并不是OpenSSL支持的扩展项的全部有些选项OpenSSL是支持显示的但是并不能在配置文件中设置比如私钥使用周期、CRL序列号和CRL说明等。(1)描述字符串型的扩展项
这种类型的扩展项变量直接使用一个字符串给变量赋值这样的扩展项变量包括:nsBaseUrlnsRevocationUrlnsCaRevocationUrlnsRenewalUrlnsCaPolicyUrlnsSslServerName和nsComment。这些扩展项从名字可以知道基本上是给出了一些跟证书相关的URL的信息这些扩展项都是Netscape定义的。不过目前很多证书实际上并没有使用这些选项。下面是一个这种扩展项在配置文件中的例子: nsComment DragonKing Generated Certificate
(2)证书类型(nsCertType)扩展项
nsCertType是Netscape定义的指定证书用途的扩展项它可选的值包括:clientserveremailobjsignreservedslCAemailCA和objCA。nsCertType值域可以为这些值的一个或者多个。这些值所代表的意义如表所示。例如如果要签发一个只用来签名的用户证书那么nsCertType设置应该如下: NsCertType objsign如果要签发的是一个普通用户证书并且是用于服务器端的可以将nsCertType的值设置如下: nsCertType objsign,email,server如果你要使用的是一个CA证书并且该CA证书可以用来签发任何用途的证书那么你的定义应该如下: nsCertType objCA,emailCA,sslCA
(3)密钥用途(keyUsage)扩展项
keyUsage是PKIX定义的用于限制证书中密钥用途的扩展项事实上它跟nsCertType的功能基本上是相同的都是为了限制证书用途。keyUsage可选值包括:digitalSignaturenonRepudiationkeyEnciphermentdataEnciphermentkeyAgrementkeyCertSigncRLSignencipherOnly和decipherOnly。keyUsage的值可以为上述值的一个或者多个值域中各个参数的意义详见表例如如果要指定证书中的密钥只能用来进行加密操作并且标记该扩展项为关键扩展项则设置应该如下:keyUsage critical,keyEncipherment,encipherOnly
(4)基本限制(basicConstraints)扩展项
basicConstraints是PKIX定义的证书扩展项在OpenSSL配置文件中它是一个多值型扩展项它的值域包括两部分:CA参数和pathlen参数。CA参数的值为TURE或者FALSE如果CA参数值为TRUE指明该证书是一个CA证书即可以用来签发别的证书的证书;如果CA的值为FALSE那么表示证书是一个最终用户证书不能作为CA证书。下面的配置表明是一个CA证书: basicConstraints CA:TRUEpathlen参数值是整数只对CA证书有效也就是说只有CA值为TRUE的时候才有效。它指明了从该CA开始下面还可以出现多少级CA证书。所以如果你设定一个CA 证 书 的 pathlen 为 0 设置如下 : basicConstraints CA:TRUE,pathlen 0 那么表明该CA证书只能签发最终用户证书而不能签发更低级别的CA证书。PKIX规定该扩展项必须标记为关键选项当然你理论上也可以不这样做。有效的CA证书一般应该标记为CA值为TRUE而最终用户证书CA值一定不能设置为TRUE否则就很容易导致混乱。下面的例子是一个标记该扩展项为关键扩展项的最终用户配置例子:basicConstraints critical,CA:FALSE
(5)扩展密钥(extendedKeyUsage)扩展项
extendedKeyUsage允许用户添加额外的密钥应用信息用户可将自己定义的对象和相应的信息添加到extendedKeyUsage列表中。extenedKeyUsage的值域是多个代表特定意义的数据对象的列表可以为对象的简称也可以为对象的数字形式OID。目前PKIXNetscape和Microsoft都定义了自己的扩展密钥扩展对象在表中列出了OpenSSL目前支持的扩展对象。下面是两个使用extendedKeyUsage扩展项的例子extendedKeyUsage critical,codsSigning,1.2.3.4extendedKeyUsage nsSGC,msSGC(6)主体密钥标识(subjectKeyIdentifier)扩展项 主体密钥标识用于在证书主体拥有多个密钥集的时候指定密钥属于哪个密钥集。subjectKeyIdentifier参数值目前有两种一种是以十六进制字符串的方式直接给定主体密钥标识这种方式现在基本上不使用了;另外一种是给定值hash这样就会根据PKIX的规定生成合适的主体密钥标识如下面的例子: subjectKeyIdentifier hash
(7)验证机构密钥标识(authorityKeyIdentifier)扩展项
验证机构密钥标识用于构造证书链的时候标识签发机构的证书和密钥证书中的验证机构密钥标识包括三个部分:密钥ID(keyID)、验证机构DN和CA证书序列号。KeyID在验证机构使用多对密钥的时候能起到区别的作用。在OpenSSL中authorityKeyIdentifier扩展项的参数值域有两个:keyid和issure两个参数都可选的取值为“always”。下面是一些应用形式:authorityKeyIdentifier keyid,issure:alwaysauthorityKeyIdentifier keyid:always如果给定keyid那么CA签发证书的时候就会复制CA证书的主体密钥标识到新签发的证书中如果keyid取值always则复制失败的时候就拒绝签发证书。给定issure将告诉CA签发证书的时候复制CA证书的DN和序列号到新签发证书中一般来说虽然给定了issure值但是只有keyid出显但复制主体密钥失败或者keyid没有给定的情况下才会执行CA证书的DN和序列号的复制操作。如果isure给定了always值则不论在什么请求下都执行其定义操作。
(8)主体别名(subjectAltName)扩展项
主体别名为证书提供了形式更加灵活的命名方式理论上可以包含IP地址、URL、电子邮件及域名等信息作为主体别名。目前就OpenSSL来说在配置文件中支持的值包括:email(E-mail地址)URL(全球资源定位地址)DNS(DNS域名)RID(已注册对象标识)和IP(IP地址)。下面是一些OpenSSL配置文件中赋值的例子:此外email参数还有一个特殊的值“copy”如果设置了该值就会自动把证书主体中包含的Email地址复制到证书扩展项中。其使用方式如下:subjectAltName email:copy,email:myOpenSSL. cn,URL:http://OpenSSL.cn
(9)颁发者别名(isuerAltName)扩展项
颁发者别名扩展项为颁发者的证书提供了不同形式的命名方式它采用的形式跟上述的主体别名基本一致。OpenSSL配置文件中的issureAltName支持subjectAltName的所有参数但是不支持email参数的copy值。issureAltName还支持issure:copy选项如果该选项设置了那么证书颁发者主体别名中所有别名都会被复制到新签发证书的颁发者别名扩展项中。下面是使用issure:copy选项的例子: issureAltName issuer:copy
(10)验证机构信息处理(authorityInfoAces)扩展项
验证机构信息处理扩展项给出了如何处理跟CA相关的信息的详细细节。在OpenSSL配置文件中其基本格式如下accessOID;locationlocation可以是主体别名中除了email:copy参数外的所有形式。accessOID理论上可以为任何有效的对象标识但是目前有具体意义的仅仅是OCSP和caIsures。OCSP表示在指定的location中作为OCSP响应服务器;caIsures则表示CA的地址。下面是两个应用例子:(11)CRL分布点(crlDistributionPoints)扩展项
CRL分布点扩展项用于指明用户为了验证证书吊销状态而需要查找CRL信息的发布站点。目前来说OpenSSL的配置文件仅支持CRL分布点中的URL参数而对于PKIX中规定的cRLIsuer和撤销原因暂时还不支持。crlDistributionPoints可以有多个URL参数是一个多值型的扩展项。下面是crlDistributionPoints扩展项在OpenSSL配置文件中使用的两个例子: (12)证书策略(certificatePolicies)扩展项
证书策略扩展项定义了证书应用的策略比如用于证书验证的策略。证书策略扩展项目前使用并不多支持的软件也很少。在OpenSSL配置文件中certificatePolicies是一种原始型的扩展项其值域一般来说是原始的对象数字标识的列表中间可以用逗号分开。下面是一个简单的例子: certificatePolicies 1.2.4.5,1.1.3.4证书扩展策略除了支持对象标识符还支持限定符但是在OpenSSL中如果要使用限定符那么就不能直接在certificatePolicies的值域中添加而要使用单独的字段看起来如下面的形式:下面是一个简单的例子: certificatePolicies 1.2.4.5,1.1.3.4 policy目前来说OpenSSL配置文件支持的证书扩展策略限定符有CPS(验证操作规范)和userNotice。CPS给定了验证操作规范的URL地址而userNotice则包含了通知用户的一些扩展信息。一个包含了证书扩展策略限定符的字段必须使用policyIdentifier参数指明对象标识(OID)。通常来说CPS参数使用下面的表达形式: CPS.nnn value其中nnn为非负整数这样可以允许加入多个CPS地址。userNotice限定符本身又包含了explicitTextorganization和noticeNumbers三个限定符选项所以也要使用单独的userNotice限定符字段来给赋值通常一个userNotice的值这样表示: userNotice section其中section为userNotice的限定符字段。explicitText和organization的值都是文本形式的而noticeNumbers的值则是一系列数字的列表。需要注意的是organization和noticeNumbers两个值在OpenSSL配置文件中是必须同时出现的不能单独出现其中一个而没有给出另一个。下面是一个相对完整的证书策略扩展字段的例子:
