RFC 5280 の 4.2.1.10. Name Constraints「名前制限」は認証局証明書の中でだけ使える拡張です (MUST) 。 その証明書を含む信頼の階層の中に現れるサブジェクトの名前に制限を加えます。 具体的な対象は Subject と Subject Alternative Name です 。 拡張では Directory Name や FQDN やメールアドレスなど何かしらの形式で その証明書以降の階層で使える・使えない名前が指定されます 。 制限が適用されるのは該当する形式の名前が指定されている場合で 制限が与えられていても該当する形式が無ければその証明書は有効となります 。 自己発行証明書に対しては「名前制限」は一般には適用されません 。 (例外はその自己発行証明書が階層の最後にくるとき) 例えば鍵の更新などの場合に発行する証明書の場合は適用されないので スムースな運用が期待できます。 id-ce-nameConstraints OB
