В чем разница между subjectKeyIdentifier и authorityKeyIdentifier в X.509?

Разница между subjectKeyIdentifier и authorityKeyIdentifier в X.509 заключается в их функциях:

• SubjectKeyIdentifier — идентификатор ключа владельца, используется для идентификации различных сертификатов, содержащих открытый ключ. proverkassl.com Это обязательное поле для сертификата, отмеченного как CA. embeddedinn.com
• AuthorityKeyIdentifier — идентификатор ключа издателя, используется для идентификации открытого ключа, соответствующего секретному ключу ЭЦП, использованному Центром Сертификации при подписи издаваемого сертификата. proverkassl.com Это дополнение может быть использовано в случае, когда Издатель сертификата (ЦС) имеет несколько различных секретных ключей ЭЦП, а также для однозначного построения цепочек сертификатов. proverkassl.com

При этом есть исключение: если ЦС распространяет свой открытый ключ в форме «самоподписанного» сертификата, то authorityKeyIdentifier может быть опущен. datatracker.ietf.org В таком случае идентификаторы subjectKeyIdentifier и authorityKeyIdentifier будут идентичными. datatracker.ietf.org