Sertifika yetkilisi (CA) her sertifika isteğini, tanımlanmış birtakım kurallar kullanarak işler. Sertifika şablonları, kullanımlarını düzenlemeye yarayan birtakım uzantılar kullanılarak özelleştirilebilir. Bu uzantılar aşağıdakileri içerebilir:

  • Verme ilkeleri. Verme ilkesi (kayıt veya sertifika ilkesi de denir), sertifika verirken uygulanan bir grup yönetim kuralıdır. Bunlar sertifikada, CA'da tanımlanan bir nesne tanımlayıcısıyla (OID de denir) gösterilir. Bu nesne tanımlayıcısı verilen sertifikaya eklenir. İlgili sertifikasını gösterdiğinde, verme ilkesini doğrulamak ve söz konusu verme ilkesi düzeyinin istenen eylemi gerçekleştirmek için yeterli olup olmadığını belirlemek üzere hedef tarafından incelenebilir. Daha fazla bilgi için bkz. Verme Gereksinimleri.

  • Uygulama ilkeleri. Uygulama ilkeleri belirli amaçlar için hangi sertifikaların kullanılabileceği konusunda karar vermeniz için size önemli bir olanak sunar. Bu da istenmeyen amaçlarla yanlış kullanılmaları kaygısı taşımadan geniş ölçüde sertifikalar vermeniz olanak sağlar. Uygulama ilkelerine bazen genişletilmiş anahtar kullanımı veya gelişmiş anahtar kullanımı da denir. Ortak anahtar alt yapısı (PKI) uygulamalarının bazı uygulanışları uygulama ilkelerini yorumlayamadığından, Windows Server tabanlı bir CA tarafından verilen sertifikalarda uygulama ilkeleri ve gelişmiş anahtar kullanımı bölümlerinin her ikisi de görünür. Daha fazla bilgi için bkz. Uygulama İlkesi.

  • Anahtar kullanımı. Sertifika ilgilinin belirli bir görevi gerçekleştirmesini sağlar. Sertifikanın hedeflenen amacı dışındaki kullanımını denetlemek için, sertifikalara otomatik olarak kısıtlamalar konur. Anahtar kullanımı bir kısıtlama yöntemidir ve hangi sertifikanın ne amaçla kullanılacağını belirler. Bu da yöneticinin, yalnızca belirli görevler için kullanılabilecek sertifikalar vermesine veya çok çeşitli işlevler için kullanılabilecek sertifikalar vermesine olanak sağlar. Daha fazla bilgi için bkz. Anahtar Kullanımı.

  • Anahtar arşivleme. İlgili kişiler özel anahtarlarını kaybettiğinde, ilgili genel anahtarla kalıcı olarak şifrelenen bilgilere erişilemez. Bunu önlemek için, anahtar arşivleme özelliği, sertifikalar verildiği zaman bir ilgilinin anahtarlarını şifreleyip CA veritabanında depolamanıza olanak sağlar. Bir ilgili anahtarlarını kaybederse, bilgiler veritabanında alınarak ilgiliye sağlanabilir. Bu da şifrelenen bilgilerin kaybolmadan kurtarılmasını sağlar. Daha fazla bilgi için bkz. İstek İşleme.

  • Temel kısıtlamalar. Temel kısıtlamalar CA sertifikalarının yalnızca belirli uygulamalarda kullanılmasını sağlamak için kullanılır. Örneğin, yol uzunluğu bir temel kısıtlama olarak belirtilebilir. Yol uzunluğu, geçerli CA'nın altında izin verilen CA'ların sayısını tanımlar. Bu yol uzunluğu kısıtlaması, bu yolun sonundaki CA'ların CA sertifikaları değil, yalnızca son varlık sertifikaları verebilmesini sağlar. Daha fazla bilgi için bkz. Temel Kısıtlamalar.

  • OCSP İptal Denetimi Yok. Bu uzantı yalnızca, yeni olan OCSP Yanıt İmzası sertifika şablonunda ve bu şablondan türetilen çoğaltmalarda görünür. Başka hiçbir sertifika şablonuna eklenemez. Bu uzantı CA'ya OCSP İptal Denetimi Yok (id-pkix-ocsp-nocheck) uzantısını verilen sertifikaya eklemesini ve yetkili bilgi erişimi ve sertifika iptal listesi (CRL) dağıtım noktası uzantılarını sertifikaya eklememesini bildirir. Bunun nedeni, OCSP Yanıt İmzası sertifikalarında iptal durumu denetimi yapılmamasıdır. Bu uzantı yalnızca, sertifika isteği gelişmiş anahtar kullanımı ve uygulama ilkelerinde OCSP Yanıt İmzası içeriyorsa uygulanır.