Me gustaría restringir el certificado X509 para que un sitio se use estrictamente para un servicio web, a diferencia de la firma de código o la firma de certificado.
Los atributos de uso de basicConstraints y keyUsage restringirían el uso del certificado para otro propósito que no sea el servicio web.
De GlobalSign: Preguntas más frecuentes sobre firma de código :
Cuando un certificado SSL para un sitio web contendría un uso de clave extendida de Autenticación del servidor que muestra que puede usarse para identificar un servidor, un certificado de firma de código tiene un uso de clave extendida de Firma de código para indicar que se puede usar para firmar código .
Por lo tanto, para la firma de código, necesita un uso de clave extendida de la firma de código mientras que para un servidor web, en lugar de un uso de clave de autenticación de servidor. Y para la firma de certificados, las restricciones básicas deberían permitir que el certificado se utilice como CA. Al crear certificados que difieren en estas configuraciones y también tienen estas configuraciones marcadas como críticas para que no se ignoren, puede obtener las restricciones apropiadas.