I criteri di applicazione offrono l'importante opportunità di decidere quali certificati possono essere utilizzati per scopi specifici. In questo modo è possibile rilasciare certificati su vasta scala senza preoccuparsi che vengano utilizzati per uno scopo indesiderato.

I criteri di applicazione sono impostazioni con le quali si comunica a una destinazione che il soggetto possiede un certificato che può essere utilizzato per eseguire una specifica attività. In un certificato i criteri sono rappresentati da un identificatore di oggetto, noto anche come OID, definito per un'applicazione specifica. L'identificatore di oggetto è incluso nel certificato rilasciato. Quando un soggetto presenta il proprio certificato, questo può essere esaminato dal destinatario per verificare il criterio di applicazione e determinare se il soggetto può eseguire l'operazione richiesta.

I criteri di applicazione vengono a volte definiti criteri di utilizzo chiavi avanzato. Poiché alcune implementazioni di applicazioni di infrastruttura a chiave pubblica (PKI) non sono in grado di interpretare i criteri di applicazione, nei certificati rilasciati da un'Autorità di certificazione (CA) basata su Windows Server è presente sia la sezione dei criteri di applicazione che quella dei criteri di utilizzo chiavi avanzato. Nella tabella seguente sono elencati alcuni dei criteri di applicazione di utilizzo più comune.

Scopo Identificatore di oggetto

Autenticazione client

1.3.6.1.5.5.7.3.2

Certificato di crittografia CA

1.3.6.1.4.1.311.21.5

Accesso smart card

1.3.6.1.4.1.311.20.2.2

Firma del documento

1.3.6.1.4.1.311.10.3.12

Ripristino file

1.3.6.1.4.1.311.10.3.4.1

Recupero della chiave

1.3.6.1.4.1.311.10.3.11

Firma elenco di attendibilità Microsoft

1.3.6.1.4.1.311.10.3.1

Subordinazione qualificata

1.3.6.1.4.1.311.10.3.10

Firmatario elenco radice

1.3.6.1.4.1.311.10.3.9

È possibile creare nuovi criteri di applicazione o modificare criteri di applicazione esistenti solo nei modelli di certificato versioni 2 e 3. Per ulteriori informazioni, vedere Modelli di certificato predefiniti.

Se un modello viene modificato, i client che dispongono già di un certificato valido basato su tale modello devono essere registrati nuovamente affinché possano ricevere un certificato basato sul modello modificato. Per ulteriori informazioni su come registrare nuovamente i client, vedere Registrare nuovamente tutti i possessori di certificati.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins o Enterprise Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Per aggiungere un criterio di applicazione
  1. Aprire lo snap-in Modelli di certificato.

  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.

  3. Nella scheda Estensioni fare clic su Criteri di applicazione e quindi su Modifica.

  4. In Modifica estensione criteri di applicazione fare clic su Aggiungi.

  5. In Aggiunta criterio di applicazione fare clic sul criterio di applicazione che si desidera aggiungere e quindi fare clic su OK.

Il criterio di applicazione che si desidera aggiungere potrebbe non essere disponibile. In questo caso, è possibile crearne uno nuovo.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins o Enterprise Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Per creare un criterio di applicazione
  1. Aprire lo snap-in Modelli di certificato.

  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.

  3. Nella scheda Estensioni fare clic su Criteri di applicazione e quindi su Modifica.

  4. In Modifica estensione criteri di applicazione fare clic su Aggiungi.

  5. In Aggiunta criterio di applicazione fare clic su Nuovo.

  6. Fornire le informazioni richieste.