為適應複雜的應用場景,實際中通常要對證書分類。有些分類方式X.509格式已經支持,但有些分類方式X.509格式本身並不支持,需要顺利获得其他方式來識別。

證書通常分為根據證書持有者和根據密鑰兩大類。

1.根據證書持有者分類

（1）根據證書持有者是否為CA分類

根據證書持有者是否為CA，可把證書分為CA證書和用戶證書。CA證書可以給用戶或其他CA簽發證書,用戶證書不允許給其他用戶或CA簽發證書。

X.509格式中顺利获得擴展項Basicconstraints來區分這2類證書。當其中的CA項為TRUE時表示CA證書,為 FALSE時表示用戶證書。

（2）按照證書持有者類型分類

根據證書持有者類型,一般把證書分為個人證書、單位證書與系統證書等。

個人證書是CA系統給個人簽發的證書,代表個人身份。證書中需含個人信息(如姓名、身份證、E-mail、電話等)和個人公鑰。

單位證書是CA系統給组织或組織等簽發的證書,代表單位身份。證書中得有單位信息(如名稱、組織组织代碼、E-mail、聯繫人等)和單位公鑰。

系統證書是CA系統給軟件系統或設備系統等簽發的證書,代表系統身份。證書中得有系統信息(如IP位址、域名等)和系統公鑰。系統證書又含Web服務器證書、域控制器證書、VPN設備證書、OCSP服務器證書、時間戳服務器證書等。

X.509格式本身並不支持這種分類,通常顺利获得在Subject中增加DN項進行區分,如可增加OU=PERSON表示個人證書,OU=UNIT表示單位證書等。為使證書內容統一，擴展項KeyUsage、ExtKeyUsage一定得設置合適的值。

2.根據密鑰分類

（1）根據密鑰對產生方式分類

根據密鑰對的產生方式,可把證書分為簽名證書和加密證書。

簽名證書及私鑰只可簽名驗簽,不能加密解密。為保確保該密鑰對是唯一的,它一定要由用戶端密碼模塊產生和保存,在證書籤發過程中CA中心並不知道其私鑰，只對其公鑰操作。

加密證書及私鑰只可加密解密,不能簽名驗簽。為實現密鑰恢復或行業監管，該密鑰對須由CA中心產生,並回送給用戶端密碼模塊保存。CA中心同時保存該密鑰對,必要時可恢復它。

X.509格式本身並不支持這種分類;一般由存儲位置或應用系統區分。為使證書內容統一,擴展項KeyUsage、ExtKeyUsage須設置合適的值。

（2）根據證書用途分類

根據證書用途,通常分為SSL服務器證書、SSL客戶端證書、代碼簽名證書、Email證書、時間戳服務器證書、OCSP服務器證書等。SSL證書只用於SSL/TLS應用，Email證書只用於安全電子郵件,代碼簽名證書只用於簽名驗簽代碼。

X.509格式中顺利获得擴展項ExtKeyUsage來區分這幾類證書。為使證書內容統一，擴展項KeyUsage須設置合適的值。