Certifikační autorita (CA) zpracuje každou žádost o certifikát pomocí definované množiny pravidel. Šablony certifikátů je možné přizpůsobit pomocí řady rozšíření, která regulují jejich používání. Tato rozšíření mohou obsahovat:
-
Zásady vystavování. Zásady vystavování (nazývané také zásady zápisu nebo certifikátu) je skupina administrativních pravidel, která se používají při vystavování certifikátů. Tato pravidla jsou v certifikátu představována identifikátorem objektu (OID), který je definován v CA. Tento identifikátor objektu je součástí vystaveného certifikátu. Když určitý subjekt předkládá svůj certifikát, může cílový subjekt certifikát ověřit, přezkoumat zásady vystavování a rozhodnout, je-li úroveň zásad vystavování dostatečná pro provedení požadované akce. Další informace naleznete v tématu Požadavky na vystavování.
-
Zásady použití. Zásady použití poskytují důležitou možnost rozhodovat, které certifikáty mohou být použity k určitému účelu. To umožňuje široce vystavovat certifikáty, aniž by bylo nutné se obávat, že budou použity k nezamýšleným účelům. Zásady použití se také někdy nazývají rozšířené použití klíčů. Protože některé implementace aplikací infrastruktury veřejných klíčů (PKI) nemohou interpretovat zásady použití, objevuje se v certifikátech vystavených certifikační autoritou (CA) založenou na systému Windows Server jak sekce zásad použití, tak sekce rozšířeného použití klíčů. Další informace naleznete v tématu Zásady použití.
-
Použití klíče: Certifikát umožňuje subjektu provádět určitou činnost. Aby bylo možné řídit použití certifikátu mimo vymezený účel, jsou do certifikátů automaticky vkládána omezení. Použití klíče představuje jeden ze způsobů omezení, který určuje, k čemu se bude certifikát používat. Tak může správce vystavovat certifikáty pouze pro určité činnosti nebo certifikáty pro širší rozsah funkcí. Další informace naleznete v tématu Používání klíčů.
-
Archivace klíčů Jestliže subjekt ztratí svůj privátní klíč, veškeré informace, které byly trvale zašifrovány odpovídajícím veřejným klíčem, budou nedostupné. Aby k tomu nedocházelo, umožňuje archivace klíčů při vystavení certifikátu zašifrovat a archivovat klíče subjektu v databázi CA. Ztratí-li subjekt své klíče, mohou být tyto informace načteny z databáze a subjektu bezpečně poskytnuty. To umožňuje obnovu zašifrovaných informací a zabraňuje jejich ztrátě. Další informace naleznete v tématu Vyřízení žádosti.
-
Základní omezení. Pomocí základních omezení lze zajistit, aby se certifikáty CA používaly pouze v určitých aplikacích. Příkladem základního omezení může být délka cesty. Délka cesty definuje počet certifikačních autorit, které mohou být pod aktuální certifikační autoritou. Omezení délky cesty zajišťuje, že certifikační autority na konci této cesty mohou vystavovat pouze certifikáty koncových entit, nikoliv certifikáty certifikačních autorit. Další informace naleznete v tématu Základní omezení.
-
Protokol OCSP (Online Certificate Status Protocol) bez kontroly odvolání . Toto rozšíření se objevuje pouze v nové šabloně certifikátu pro podepisování odpovědí protokolu OCSP a v duplikátech odvozených z této šablony. Nelze je přidávat k žádným jiným šablonám certifikátů. Toto rozšíření dává CA pokyn, aby do vystavovaného certifikátu zahrnula rozšíření Protokol OCSP (Online Certificate Status Protocol) bez kontroly odvolání (id-pkix-ocsp-nocheck) a nezahrnula do certifikátu rozšíření přístup k informacím autority a rozšíření distribučního bodu seznamu odvolaných certifikátů (CRL). Je tomu tak proto, že stav odvolání certifikátů pro podepisování odpovědí protokolu OCSP není kontrolován. Toto rozšíření se uplatňuje, jen když žádost o certifikát obsahuje v rozšířeném použití klíče a v zásadách použití podepisování odpovědí protokolu OCSP.