Attualmente sto progettando un PKI privato per la mia famiglia e alcuni amici intimi da utilizzare in e-mail, VPN, condivisione di file ecc. La PKI sarà a 3 livelli:
Root CA -> Policy Authority -> Issuing Authority -> Enduser
Voglio limitare l'utilizzo dei certificati a determinati casi d'uso utilizzando i campi keyUsage e extendedKeyUsage. Cioè i certificati dei nostri server web dovrebbero avere le seguenti estensioni:
keyUsage=digitalSignature,keyEncipherment,keyAgreement,nonRepudation
extendedKeyUsage=TLS Web Server Authentication
Questi certificati verranno emessi dalla "CA di emissione del server Web". Non è sotto la mia supervisione diretta, ma mi piacerebbe far sì che siano esattamente presenti quei campi keyUsage e extendedKeyUsage e, cosa più importante, non voglio che la CA di emissione del server Web emetta certificati per la posta elettronica ecc.