应用程序策略为您提供了决定可将哪些证书用于特定用途的重要功能。这允许您广泛颁发证书,而无需担心它们被用作非预期目的。
应用程序策略是一些设置,用于将以下信息通知目标:使用者持有可以用于执行特定任务的证书。它们在证书中以针对给定应用程序定义的对象标识符(也称为 OID)来表示。此对象标识符包含在已颁发的证书中。当使用者提供其证书时,证书可以由证书接收方进行检查,以验证应用程序策略,并确定使用者是否可以执行所请求的操作。
应用程序策略有时称为扩展的密钥用法或增强型密钥用法。由于公钥基础结构 (PKI) 应用程序的某些实施无法解释应用程序策略,因此应用程序策略和增强型密钥用法部分出现在基于 Windows Server 的证书颁发机构 (CA) 颁发的证书中。下表中列出了一些常用的应用程序策略。
作用 | 对象标识符 |
---|---|
客户端身份验证 |
1.3.6.1.5.5.7.3.2 |
CA 加密证书 |
1.3.6.1.4.1.311.21.5 |
智能卡登录 |
1.3.6.1.4.1.311.20.2.2 |
文档签名 |
1.3.6.1.4.1.311.10.3.12 |
文件恢复 |
1.3.6.1.4.1.311.10.3.4.1 |
密钥恢复 |
1.3.6.1.4.1.311.10.3.11 |
Microsoft 信任列表签名 |
1.3.6.1.4.1.311.10.3.1 |
合格的部属 |
1.3.6.1.4.1.311.10.3.10 |
根列表签名程序 |
1.3.6.1.4.1.311.10.3.9 |
修改或创建新的应用程序策略的功能仅在版本 2 和版本 3 证书模板中可用。有关详细信息,请参阅默认证书模板。
客户端必须经过重新注册,才能接收到基于已修改模板的证书(如果这些客户端已拥有基于上一个模板的有效证书)。有关重新注册客户端的详细信息,请参阅重新注册所有证书持有者。
Domain Admins 或 Enterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理。
添加应用程序策略的步骤 |
打开“证书模板”管理单元。
在细节窗格中,右键单击要更改的证书模板,然后单击“属性”。
在“扩展”选项卡中,单击“应用程序策略”,然后单击“编辑”。
在“编辑应用程序策略扩展”中,单击“添加”。
在“添加应用程序策略”中,单击要添加的应用程序策略,然后单击“确定”。
所需的应用程序策略可能不可用。在这种情况下,可以创建新的应用程序策略。
Domain Admins 或 Enterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理。
创建应用程序策略的步骤 |
打开“证书模板”管理单元。
在细节窗格中,右键单击要更改的证书模板,然后单击“属性”。
在“扩展”选项卡中,单击“应用程序策略”,然后单击“编辑”。
在“编辑应用程序策略扩展”中,单击“添加”。
在“添加应用程序策略”中,单击“新建”。
提供请求的信息。