<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <br>
    <div class="moz-cite-prefix">On 11/03/2014 11:03 PM, Bruce Morton
      wrote:<br>
    </div>
    <blockquote
cite="mid:452C99D20750E74083DBA441FF932385E3EF3776@SOTTEXCH10.corp.ad.entrust.com"
      type="cite">
      <pre wrap="">Sorry, my error. Somehow I got Certificate Policy and EKU mixed up in my mind.

We do limit our intermediate CAs which issue SSL certificates to Server Auth and Client Auth.
</pre>
    </blockquote>
    <br>
    Just for the record this is nowhere defined in any RFC -
    id-kpServerAuth is usually for end-user certificates indicating
    support for server-authentication. An intermediate CA with
    id-kpServerAuth could be also used for server-authentication if it
    has other EKUs, but it doesn't limit issuance to lets say code
    signing certificates.<br>
    <br>
    <div class="moz-signature">-- <br>
      <table border="0" cellpadding="0" cellspacing="0">
        <tbody>
          <tr>
            <td colspan="2">Regards </td>
          </tr>
          <tr>
            <td colspan="2"> </td>
          </tr>
          <tr>
            <td>Signer: </td>
            <td>Eddy Nigg, COO/CTO</td>
          </tr>
          <tr>
            <td> </td>
            <td><a href="http://www.startcom.org">StartCom Ltd.</a></td>
          </tr>
          <tr>
            <td>XMPP: </td>
            <td><a href="xmpp:startcom@startcom.org">startcom@startcom.org</a></td>
          </tr>
          <tr>
            <td>Blog: </td>
            <td><a href="http://blog.startcom.org">Join the Revolution!</a></td>
          </tr>
          <tr>
            <td>Twitter: </td>
            <td><a href="http://twitter.com/eddy_nigg">Follow Me</a></td>
          </tr>
          <tr>
            <td colspan="2"> </td>
          </tr>
        </tbody>
      </table>
    </div>
  </body>
</html>