應用程式原則賦予您重要的能力,以決定哪些憑證可以用於特定目的。這可讓您廣泛地發佈憑證,而不需擔心它們會用於非預定的目的。

應用程式原則就是通知目標有關主體掌握可用來執行特定工作之憑證的設定值。在憑證中,這些原則是由針對指定應用程式所定義的物件識別碼 (也稱為 OID) 代表。此物件識別碼已包含在發行的憑證中。當主體顯示其憑證時,憑證接收者可檢查憑證以驗證應用程式原則,並判斷主體是否能夠執行要求的動作。

應用程式原則有時稱為延伸的金鑰使用方法或增強的金鑰使用方法。因為某些公開金鑰基礎結構 (PKI) 應用程式的實作無法解譯應用程式原則,所以應用程式原則和增強的金鑰使用方法區段會顯示在 Windows Server 型憑證授權單位 (CA) 所發行的憑證中。下表列出一些常用的應用程式原則。

目的 物件識別碼

用戶端驗證

1.3.6.1.5.5.7.3.2

CA 加密憑證

1.3.6.1.4.1.311.21.5

智慧卡登入

1.3.6.1.4.1.311.20.2.2

文件簽署

1.3.6.1.4.1.311.10.3.12

檔案修復

1.3.6.1.4.1.311.10.3.4.1

金鑰修復

1.3.6.1.4.1.311.10.3.11

Microsoft 信任清單簽署

1.3.6.1.4.1.311.10.3.1

合格的分類

1.3.6.1.4.1.311.10.3.10

根清單簽署人

1.3.6.1.4.1.311.10.3.9

修改或建立新應用程式原則的能力,只能用於第 2 版和第 3 版的憑證範本中。如需相關資訊,請參閱預設憑證範本

如果用戶端已有以先前範本為基準的有效憑證,則必須重新註冊才能收到以修改後範本為基準的憑證。如需重新註冊用戶端的相關資訊,請參閱重新註冊所有憑證持有者

若要完成此程序,至少需要 Domain AdminsEnterprise Admins 的成員資格或同等權限。如需相關資訊,請參閱實作以角色為基礎的管理

新增應用程式原則
  1. 開啟 [憑證範本] 嵌入式管理單元。

  2. 在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]

  3. [延伸] 索引標籤上,按一下 [應用程式原則],然後按一下 [編輯]

  4. [編輯應用程式原則延伸] 中,按一下 [新增]

  5. [新增應用程式原則] 中,按一下您要新增的應用程式原則,然後按一下 [確定]

您想要的應用程式原則可能無法使用。在此情況下,您可以建立新的應用程式原則。

若要完成此程序,至少需要 Domain AdminsEnterprise Admins 的成員資格或同等權限。如需相關資訊,請參閱實作以角色為基礎的管理

建立應用程式原則
  1. 開啟 [憑證範本] 嵌入式管理單元。

  2. 在詳細資料窗格中,在您要變更的憑證範本上按一下滑鼠右鍵,然後按一下 [內容]

  3. [延伸] 索引標籤上,按一下 [應用程式原則],然後按一下 [編輯]

  4. [編輯應用程式原則延伸] 中,按一下 [新增]

  5. [新增應用程式原則] 中,按一下 [新增]

  6. 提供所要求的資訊。