Phần mở rộng là những thông tin thuộc tính cần thiết đƣợc đƣa vào để gắn những thuộc tính này với ngƣời sử dụng hay khóa công. Những thông tin trong phần mở rộng thƣờng đƣợc dùng để quản lý xác thực phân cấp, chính sách chứng chỉ, thông tin về chứng chỉ bị thu hồi… Nó cũng có thể đƣợc sử dụng để định nghĩa phần mở rộng riêng chứa những thông tin đặc trƣng cho cộng đồng nhất định. Mỗi trƣờng mở rộng trong chứng chỉ đƣợc thiết kế với cờ ‘‘critical’’ hoặc ‘‘Uncritical’’.
- Authority Key Indentifier : chứa ID khóa công khai của CA. ID này là duy nhất và đƣợc dùng để kiểm tra chữ ký số trên chứng chỉ. Nó cũng đƣợc sử dụng để phân biệt giữa các cặp khóa do một CA sử dụng (trong trƣờng hợp nếu CA có nhiều hơn một khóa công khai). Trƣờng này đƣợc sử dụng cho tất cả các chứng chỉ tự ký số (CA- certificates).
- Subject Key Identifier : chứa ID khóa công khai có trong chứng chỉ và đƣợc sử dụng để phân biệt giữa các khóa nếu nhƣ có nhiều khóa đƣợc gắn vào trong cùng chứng chỉ của ngƣời sử dụng (Nếu chủ thể có nhiều hơn một khóa công khai).
- Key Usage : chứa một chuỗi bít đƣợc dùng để xác định (hoặc hạn chế) chức năng hoặc dịch vụ đƣợc hỗ trợ qua việc sử dụng khóa công khai trong chứng chỉ.
- Extended Key Usage : chứa một hoặc nhiều OIDs (định danh đối tƣợng- Object Identifier) để xác định cụ thể việc sử dụng khóa công trong chứng chỉ. Các giá trị có thể là : (1) xác thực server TLS, (2) xác thực client TLS, (3) Ký Mã, (4) bảo mật email, (5) Tem thời gian.
- CRL Distribution Point : chỉ ra vị trí của CRL tức là nơi hiện có thông tin thu hồi chứng chỉ. Nó có thể là URI (Uniform Resource Indicator), địa chỉ của X.509 hoặc LDAP server.
- Private Key Usage Period : trƣờng này cho biết thời gian sử dụng của
khóa riêng gắn với khóa công khai trong chứng chỉ.
- Certificate Policies : trƣờng này chỉ ra dãy các chính sách OIDs gắn với
việc cấp và sử dụng chứng chỉ.
- Policy Mappings : trƣờng này chỉ ra các chính sách xác thực tƣơng đƣơng giữa hai miền CA. Nó đƣợc sử dụng trong việc thiết lập xác thực chéo và kiểm tra đƣờng dẫn chứng chỉ. Trƣờng này chỉ có trong chứng chỉ CA.
- Subject Alternative Name : chỉ ra những dạng tên lựa chọn gắn với ngƣời sở hữu chứng chỉ. Những giá trị có thể là : địa chỉ e-mail, địa chỉ IP, địa chỉ URI…
- Issuer Alternative Name : chỉ ra những dạng tên lựa chọn gắn với ngƣời
cấp chứng chỉ.
- Subject Directory Attributes : trƣờng này chỉ ra dãy các thuộc tính gắn
với ngƣời sở hữu chứng chỉ. Trƣờng mở rộng này không đƣợc sử dụng rộng rãi. Nó đƣợc dùng để chứa những thông tin liên quan đến đặc quyền.
- Basic Constrains Field : trƣờng này cho biết đây có phải là chứng chỉ CA hay không bằng cách thiết lập giá trị logic (true). Trƣờng này chỉ có trong chứng chỉ CA. Chứng chỉ CA dùng để thực hiện một số chức năng. Chứng chỉ này có thể ở một trong hai dạng. Nếu CA tạo ra chứng chỉ để tự sử dụng, chứng chỉ này đƣợc gọi là chứng chỉ CA tự ký. Khi một CA mới đƣợc thiết lập, CA tạo ra một chứng chỉ CA tự ký để ký lên chứng chỉ của ngƣời sử dụng cuối trong hệ thống. Và dạng thứ hai là CA cấp chứng chỉ cho những CA khác trong hệ thống.
- Path Length Contraint : trƣờng này chỉ ra số độ dài tối đa của đƣờng dẫn chứng chỉ có thể đƣợc thiết lập. Giá trị ‘‘zero’’ chỉ ra rằng CA chỉ có thể cấp chứng chỉ cho thực thể cuối, không cấp chứng chỉ cho những CA khác. (Trƣờng này chỉ có trong chứng chỉ của CA).
- Name Constrainsts : đƣợc dùng để bao gồm hoặc loại trừ các nhánh trong những miền khác nhau trong khi thiết lập môi trƣờng tin tƣởng giữa các miền PKI.
- Policy Constraints : đƣợc dùng để bao gồm hoặc loại trừ một số chính
sách chứng chỉ trong khi thiết lập môi trƣờng tin tƣởng giữa các miền PKI.