Uma autoridade de certificação (CA) processa todas as solicitações de certificado usando um conjunto de regras definido. Os modelos de certificado podem ser personalizados com um número de extensões que regulam o seu uso. Essas extensões podem incluir:
-
Diretivas de emissão. Diretivas de emissão (também chamadas de diretivas de certificado ou de registro) são grupos de regras administrativas implementadas na emissão de certificados. Elas são representadas em um certificado por um identificador de objeto (também conhecido como OID) definido pela autoridade de certificação. Esse identificador de objeto é incluído no certificado emitido. Quando uma entidade apresenta um certificado, ele pode ser examinado pelo computador de destino para verificar a diretiva de emissão e determinar se o nível da diretiva é suficiente para executar a ação solicitada. Para obter mais informações, consulte Requisitos de emissão.
-
Diretivas de aplicativo. As diretivas de aplicativo oferecem o importante poder de decisão sobre quais certificados podem ser usados para certos fins. Isso permite emitir certificados amplamente sem a preocupação de que sejam usados incorretamente para um fim indesejado. As diretivas de aplicativo são, por vezes, chamadas de uso de chave estendido ou avançado. Como algumas implementações de aplicativos da infraestrutura de chave pública (PKI) não podem interpretar as diretivas de aplicativo, as seções de diretivas de aplicativo e de uso de chave avançado aparecem nos certificados emitidos por uma autoridade de certificação baseada em Windows Server. Para obter mais informações, consulte Diretiva de Aplicativo.
-
Uso da chave. Um certificado permite que a entidade execute uma tarefa específica. Para ajudar a evitar que um certificado seja utilizado além da finalidade pretendida, são aplicadas restrições automáticas em certificados. O uso da chave é um método de restrição e determina a finalidade de um certificado. Isso permite que o administrador emita certificados que só possam ser utilizados para tarefas específicas ou para emitir certificados que possam ser utilizados para uma ampla variedade de funções. Para obter mais informações, consulte Uso de chave.
-
Arquivamento de chave. Quando as entidades perdem suas chaves privadas, qualquer informação persistentemente criptografada com a chave pública correspondente fica inacessível. Para ajudar a evitar isso, o arquivamento de chave permite criptografar e arquivar as chaves das entidades no banco de dados da autoridade de certificação quando são emitidos certificados. Se uma entidade perde suas chaves, as informações podem ser recuperadas do banco de dados e fornecidas à entidade. Isso permite que as informações criptografadas sejam recuperadas em vez de perdidas. Para obter mais informações, consulte Tratamento de Solicitação.
-
Restrições básicas. As restrições básicas são usadas para garantir que os certificados das autoridades de certificação sejam usados apenas em certos aplicativos. Um exemplo é o comprimento do caminho que pode ser especificado como uma restrição básico. Um comprimento de um caminho define o número de autoridades de certificação permitido abaixo da autoridade de certificação atual. A restrição do comprimento do caminho garante que as autoridades de certificação possam emitir apenas certificados de entidade final e não certificados de autoridade de certificação. Para obter mais informações, consulte Restrições Básicas.
-
OCSP Sem Verificação de Revogação. A extensão aparece apenas no novo modelo de certificado de Assinatura de Resposta OCSP e duplicatas originadas nesse modelo. Ela também pode ser adicionada a qualquer outro modelo de certificado. Essa extensão instrui a autoridade de certificação a incluir a extensão OCSP Sem Verificação de Revogação (id-pkix-ocsp-nocheck) no certificado emitido e a não incluir o acesso a informações de autoridade e extensões de ponto de distribuição da lista de revogação de certificado (CRL). Isso ocorre porque os certificados de Assinatura de Resposta OCSP não são verificados por status de revogação. Essa extensão somente se aplica se a solicitação de certificado contiver Assinatura de Resposta OCSP no uso de chave avançado e diretivas de aplicativo.