Sim e não.
Sim: os certificados X.509 quase sempre têm um keyUsage ou uma extensão extendedKeyUsage , que regula como o certificado deve ser usado . Se você omitir os valores dataEncipherment e keyEncipherment neste momento e configurá-los para outra coisa (como digitalSignature ), todos os aplicativos que estiverem seguindo o padrão devem não use a chave do certificado para criptografia.
Não: Todo certificado X.509 contém uma chave pública que teoricamente pode ser usada para criptografar dados, não importando o que o padrão ordena que você faça.
Linha de fundo: Você não pode tecnicamente proibir alguém de fazer criptografia com uma chave em um certificado X.509. Sua melhor chance é definir o keyUsage como um valor apropriado e usar uma chave ECC em vez de uma chave RSA, já que a criptografia ECC é algo que não é feito com muita frequência.