证书颁发机构 (CA) 使用已定义的一组规则来处理每个证书申请。可以使用规定证书模板使用的许多扩展来自定义证书模板。这些扩展可以包括:
-
颁发策略。颁发策略(也称为注册策略或证书策略)是颁发证书时实施的一组管理规则。它们在证书中由在 CA 定义的对象标识符(也称为 OID)来表示。此对象标识符包含在已颁发的证书中。如果使用者提供了其证书,则可以由目标来检查该证书,以验证颁发策略,并确定该颁发策略级别是否足以执行所请求的操作。有关详细信息,请参阅发布要求。
-
应用程序策略。应用程序策略为您提供了决定可将哪些证书用于特定用途的重要功能。这允许您广泛颁发证书,而无需担心它们被误用于未预期目的。应用程序策略有时称为扩展的密钥用法或增强型密钥用法。由于某些公钥基础结构 (PKI) 应用程序的实施无法解释应用程序策略,因此应用程序策略和增强型密钥用法部分出现在基于 Windows Server 的 CA 颁发的证书中。有关详细信息,请参阅应用程序策略。
-
密钥用法。使用者使用证书可以执行特定任务。为了帮助控制在证书的预期目的之外使用证书,将自动对证书设置限制。密钥用法是一种限制方法,可以确定证书可用于何种目的。这可以使管理员颁发仅用于特定任务的证书或广泛用于各种功能的证书。有关详细信息,请参阅密钥用法。
-
密钥存档。如果使用者丢失了其私钥,则将无法访问使用对应公钥永久加密的任何信息。若要防止发生此情况,则在颁发证书时可通过密钥存档对 CA 数据库中的使用者密钥进行加密和存档。如果使用者丢失了其密钥,则可以从该数据库中检索相应信息,并提供给使用者。这可以恢复加密的信息,而不会丢失加密的信息。有关详细信息,请参阅请求处理。
-
基本约束。基本约束用于确保 CA 证书仅在某些应用程序中使用。例如,可作为基本约束指定的路径长度。路径长度定义了当前 CA 下允许的 CA 的数目。此路径长度约束确保此路径结尾的 CA 只能颁发最终实体证书,而不能颁发 CA 证书。有关详细信息,请参阅基本约束。
-
OCSP 不进行吊销检查。此扩展仅出现在新的 OCSP 响应签名证书模板以及从此模板派生的副本中。无法将此扩展添加到任何其他的证书模板中。此扩展指导 CA 在已颁发的证书中包括“OCSP 不进行吊销检查 (id-pkix-ocsp-nocheck)”扩展,而不在证书中包括颁发机构信息访问和证书吊销列表 (CRL) 分发点扩展。这是因为系统不会检查 OCSP 响应签名证书的吊销状态。只有证书申请在增强型密钥用法和应用程序策略中包含 OCSP 响应签名时,才应用此扩展。