憑證授權單位 (CA) 會使用已定義的規則集處理每個憑證要求。CA 可能會發行一些沒有識別證明的憑證,而在發行其他類型的憑證前需要識別證明。這可對不同的憑證提供不同等級的保證。這些保證等級在憑證中代表發行原則。
發行原則 (也稱為註冊或憑證原則) 是在簽發憑證時實作的管理規則群組。在憑證中,這些原則是由定義於 CA 的物件識別碼 (也稱為 OID) 代表。此物件識別碼已包含在發行的憑證中。當主體提出其憑證時,可以由目標檢查憑證以驗證發行原則,並判定發行原則等級是否足以執行要求的動作。
Windows Server 2008 R2、Windows Server 2008 以及 Windows Server 2003 包含四個預先定義的發行原則:
-
所有發行 (2.5.29.32.0)。所有發行原則表示發行原則包含其他所有發行原則。通常,此物件識別碼只會指派給 CA 憑證。
-
低度保證 (1.3.6.1.4.1.311.21.8.x.y.z.1.400)。低度保證物件識別碼用以代表沒有額外安全性需求的已發佈憑證。
附註 物件識別碼的 x.y.z 部分是隨機產生的數字序號,而每個 Active Directory 樹系的序號都是獨一無二的。
-
中度保證 (1.3.6.1.4.1.311.21.8.x.y.z.1.401)。中度保證物件識別碼用以代表具有保證之額外安全性需求的憑證。例如,在有智慧卡簽發者之面對面會議中發行的智慧卡憑證可能會被視為中度憑證保證,並且包含中度保證物件識別碼。
-
高度保證 (1.3.6.1.4.1.311.21.8.x.y.z.1.402)。高度保證物件識別碼用以代表以最高安全性發行的憑證。例如,金鑰修復代理憑證的發行可能需要額外的背景檢查和指定核准者的數位簽章,因為持有此憑證的人員可以從企業 CA 復原私密金鑰資料。
此外,您可以建立自己的物件識別碼來代表自訂發行原則。
當主體向 CA 提交憑證要求時,要求可以自動進行核准或置於「擱置」狀態。擱置狀態通常用於需要較高保證等級且因而需要更多管理及進一步要求驗證的憑證。有數個設定可以設定依據範本之發佈憑證的驗證和簽章需求。
設定 | 描述 |
---|---|
要有憑證授權單位管理員批准 |
所有憑證都放入擱置容器中,讓憑證管理員發行或拒絕。 |
授權簽章的數目 |
此設定需要憑證要求在發行之前由一或多個主體進行數位簽章。這會啟用其他數個設定參數。 |
簽章中必需的原則類型 |
發佈憑證所需的簽章必須包含特定應用程式原則、發行原則或兩者。這是 CA 判斷簽章是否適用於授權發佈主體憑證的方式。此選項會在設定 [授權簽章的數目] 時啟用。 |
應用程式原則 |
指定簽署憑證要求時要驗證的應用程式原則。此選項會在 [簽章中必需的原則類型] 設定為 [應用程式原則] 或 [應用程式及發行原則] 時啟用。 |
發行原則 |
指定簽署憑證要求時要驗證的發行原則。此選項會在 [簽章中必需的原則類型] 設定為 [發行原則] 或 [應用程式及發行原則] 時啟用。 |
只有第 2 版和第 3 版的憑證範本才提供修改或建立新應用程式原則的能力。如需相關資訊,請參閱預設憑證範本。
如果用戶端已有以先前範本為基準的有效憑證,則必須重新註冊才能收到以修改後範本為基準的憑證。如需重新註冊用戶端的相關資訊,請參閱重新註冊所有憑證持有者。
若要完成此程序,至少需要 Domain Admins 或 Enterprise Admins 的成員資格或同等權限。如需相關資訊,請參閱實作以角色為基礎的管理。
修改發行原則 |
開啟 [憑證範本] 嵌入式管理單元。
在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [發行需求] 索引標籤。
提供所要求的資訊。