この拡張は認証局に対して発行される証明証に使われます。
id-ce-inhibitAnyPolicy OBJECT IDENTIFIER ::= { id-ce 54 }4.2.1.4. Certificate Policies で anyPolicy ってありました。
InhibitAnyPolicy ::= SkipCerts
SkipCerts ::= INTEGER (0..MAX)
OID は 2.5.29.32.0 で、全てのポリシーにマッチする、という意味でした。
ポリシーを制限しないときに使いました。
anyPolicy って何でもありってのは sub CA に何されるか制御できないので、
「全ポリシー禁止」は anyPolicy が他のポリシーにマッチすることを禁止します。
但し証明証が自己署名な中間証明証である場合を除きます。
具体的には整数が指定されます。
その証明証以降何枚目から anyPolicy が使えなくなるか指定します。
例えば 1 であれば、
「全ポリシー禁止」が記載されている証明証のサブジェクトが発行した
証明証に記載されている anyPolicy は有効としても良いけれども、
それ以降の証明証に記載される anyPolicy は無効となります。
「全ポリシー禁止」はクリティカルにしましょう。
