Actualmente estoy diseñando una PKI privada para mi familia y algunos amigos cercanos para usar en correo electrónico, VPN, intercambio de archivos, etc. La PKI tendrá 3 niveles:
Root CA -> Policy Authority -> Issuing Authority -> Enduser
Quiero restringir el uso de certificados a ciertos casos de uso utilizando los campos keyUsage y extendedKeyUsage. Es decir. Los certificados de nuestros servidores web deben tener el siguiente conjunto de extensiones:
keyUsage=digitalSignature,keyEncipherment,keyAgreement,nonRepudation
extendedKeyUsage=TLS Web Server Authentication
Estos certificados serán emitidos por la "CA emisora del servidor web". No está bajo mi supervisión directa, pero me gustaría hacer cumplir exactamente los campos keyUsage y extendedKeyUsage deben estar presentes y, lo que es más importante, no quiero que la CA emisora de servidores web emita certificados para correo electrónico, etc.