Uma AC (autoridade de certificação) processa cada pedido de certificado utilizando um conjunto específico de regras. Os modelos de certificado podem ser personalizados com algumas extensões que regulam a sua utilização. Estas extensões podem incluir:

  • Políticas de emissão. Uma política de emissão (também conhecida como uma política de inscrição ou de certificação) é um grupo de regras administrativas que é implementado quando os certificados são emitidos. Estas são representadas num certificado por um identificador de objecto (também conhecido como um OID) que é definido na AC. Este identificador de objecto está incluído no certificado emitido. Quando um requerente apresenta o respectivo certificado, este pode ser examinado pelo destinatário para verificar a política de emissão e determinar se o nível de política de emissão é suficiente para que seja possível executar a acção solicitada. Para mais informações, consulte Requisitos de Emissão.

  • Políticas de aplicação. As políticas de aplicação oferecem-lhe a capacidade importante de decidir quais os certificados que podem ser utilizados para determinados fins. Deste modo, pode emitir muitos certificados sem preocupações relativamente a certificados utilizados incorrectamente ou para um fim indesejado. Por vezes, as políticas de aplicação são designadas por utilização alargada da chave ou utilização de chave avançada. Uma vez que algumas implementações de aplicações de infra-estrutura de chaves públicas (PKI) não conseguem interpretar políticas de aplicação, as políticas de aplicação e as secções de utilização de chave avançada são apresentadas nos certificados emitidos por uma AC baseada no Windows Server. Para mais informações, consulte Política de Aplicação.

  • Utilização da chave. Um certificado permite ao requerente executar uma tarefa específica. Para ajudar a controlar a utilização de um certificado fora do objectivo a que se destina, são automaticamente introduzidas restrições nos certificados. A utilização da chave é um método de restrição e determina a finalidade de um certificado. Este permite ao administrador emitir certificados que só podem ser utilizados para tarefas específicas ou emitir certificados que podem ser utilizados para uma grande variedade de funções. Para mais informações, consulte Utilização da Chave.

  • Arquivo de chaves. Quando os requerentes perdem as chaves privadas, quaisquer informações encriptadas de forma persistente com a chave pública correspondente estarão inacessíveis. Para ajudar a evitar esta situação, o arquivo de chaves permite encriptar e arquivar chaves de um requerente na base de dados de AC quando os certificados são emitidos. Se um requerente perder as chaves, as informações poderão ser obtidas a partir da base de dados e fornecidas ao requerente. Isto permite recuperar as informações encriptadas em vez de as perder. Para mais informações, consulte Processamento de Pedidos.

  • Restrições básicas. As restrições básicas são utilizadas para garantir que os certificados de AC apenas são utilizados em determinadas aplicações. Um exemplo é o comprimento do caminho que pode ser especificado como uma restrição básica. O comprimento de um caminho define o número de ACs permitidas abaixo da AC actual. Esta restrição do comprimento de caminho garante que as ACs no fim deste caminho apenas poderão emitir certificados de entidade final, não certificados de AC. Para mais informações, consulte Restrições Básicas.

  • Sem Verificação de Revogação de OCSP. Esta extensão só é apresentada no novo modelo de certificado de Assinatura de Resposta OCSP e os duplicados são obtidos a partir deste modelo. Não pode ser adicionada a quaisquer outros modelos de certificados. Esta extensão indica à AC para incluir a extensão Sem Verificação de Revogação de OCSP (id-pkix-ocsp-nocheck) no certificado emitido e para não incluir o acesso a informações sobre autoridade e extensões de ponto de distribuição da CRL (lista de revogação de certificados) no certificado. Isto porque o estado de revogação dos certificados de Assinatura de Resposta OCSP não é verificado. Esta extensão só se aplica se o pedido de certificado contiver a Assinatura de Resposta OCSP na utilização de chave avançada e nas políticas de aplicação.