Certifikační autorita (CA) zpracuje každou žádost o certifikát pomocí definované množiny pravidel. CA může některé certifikáty vystavit bez prokázání identifikace a naopak vyžadovat prokázání identifikace před vystavením jiných typů certifikátů. To poskytuje různé úrovně bezpečnosti pro různé certifikáty. Tyto úrovně bezpečnosti jsou v certifikátech představovány zásadami vystavování.
Zásady vystavování (nazývané také zásady zápisu nebo certifikátu) je skupina administrativních pravidel, která se používají při vystavování certifikátů. Tato pravidla jsou v certifikátu představována identifikátorem objektu (OID), který je definován v CA. Tento identifikátor objektu je součástí vystaveného certifikátu. Když určitý subjekt předkládá svůj certifikát, může cílový subjekt certifikát ověřit, přezkoumat zásady vystavování a rozhodnout, je-li úroveň zásad vystavování dostatečná pro provedení požadované akce.
Systémy Windows Server 2008 R2, Windows Server 2008 a Windows Server 2003 obsahují čtyři předdefinované zásady:
-
Všechny zásady vystavování (2.5.29.32.0). Možnost Všechny zásady vystavování v sobě obsahuje všechny ostatní zásady vystavování. Tento identifikátor objektu je obvykle přiřazován pouze certifikátům CA.
-
Nízká záruka (1.3.6.1.4.1.311.21.8.x.y.z.1.400). Identifikátor objektu Nízká záruka se používá pro certifikáty, které jsou vystaveny bez jakýchkoli dalších požadavků zabezpečení.
Poznámka Část x.y.z identifikátoru objektu je náhodně vygenerovaná číselná posloupnost, která je pro každou doménovou strukturu služby Active Directory jedinečná.
-
Střední záruka (1.3.6.1.4.1.311.21.8.x.y.z.1.401). Identifikátor objektu Střední záruka se používá pro certifikáty, které mají další požadavky zabezpečení pro vystavení. Například certifikát čipové karty, který je vystaven při osobním setkání s vystavovatelem čipové karty, může být pokládán za certifikát se střední zárukou a může obsahovat identifikátor objektu Střední záruka.
-
Vysoká záruka (1.3.6.1.4.1.311.21.8.x.y.z.1.402). Identifikátor objektu Vysoká záruka se používá pro certifikáty, které jsou vystavovány s nejvyšším zabezpečením. Například vystavení certifikátu agenta obnovení klíčů může vyžadovat další kontroly na pozadí a digitální podpis určeného schvalovatele, protože osoba, která je držitelem tohoto certifikátu, může obnovovat privátní klíče z certifikační autority (CA) rozlehlé sítě.
Uživatelé navíc mohou vytvářet vlastní identifikátory objektů představující vlastní zásady vystavování.
Když subjekt předloží certifikační autoritě žádost o certifikát, žádost může být buď automaticky schválena, nebo převedena do stavu „čekající“. Stav „čekající“ se obvykle používá pro certifikáty, které vyžadují vyšší úroveň bezpečnosti a tudíž i více administrativních úkonů a další ověřování žádosti. Existuje řada nastavení, která mohou konfigurovat žádosti o ověřování a podpisy pro vystavení certifikátů založených na šabloně.
| Nastavení | Popis |
|---|---|
|
Schválení správce certifikátů CA |
Všechny certifikáty se ukládají do kontejneru čekajících certifikátů pro správce certifikátů, který je buď vystaví, nebo odepře. |
|
Tento počet ověřených podpisů |
Toto nastavení pro vystavení certifikátu vyžaduje, aby byla žádost o certifikát digitálně podepsána jedním nebo více subjekty, než bude možné certifikát vystavit. Tím je povoleno několik dalších parametrů konfigurace. |
|
Typ zásady požadovaný v podpisu |
Podpisy, které jsou požadovány pro vystavení certifikátu, musí obsahovat specifické zásady použití, zásady vystavování, nebo oboje. CA takto určuje, zda je podpis přiměřený pro schválení vystavení certifikátu subjektu. Tato možnost je povolena, když je nastavena položka Tento počet ověřených podpisů. |
|
Zásady použití |
Určuje zásady použití, které se ověřují při podepisování žádosti o certifikát. Tato možnost je dostupná, když je volba Typ zásady požadovaný v podpisu nastavena na možnost Zásada použití nebo Zásady použití a vystavování. |
|
Zásada vystavování |
Určuje zásady vystavování, které se ověřují při podepisování žádosti o certifikát. Tato možnost je dostupná, když je volba Typ zásady požadovaný v podpisu nastavena na možnost Zásada vystavování nebo Zásady použití a vystavování. |
Možnost upravovat nebo vytvářet nové zásady použití je dostupná pouze u šablon certifikátů verzí 2 a 3. Další informace naleznete v části Výchozí šablony certifikátů.
Pokud klienti chtějí získat certifikát založený na upravené šabloně a mají již platný certifikát založený na předchozí šabloně, musí být znovu zapsáni. Další informace o obnově zápisu klientů naleznete v části Obnova zápisu všech držitelů certifikátů.
K provedení tohoto postupu jsou nutná minimálně oprávnění skupiny Domain Admins nebo Enterprise Admins nebo ekvivalentní oprávnění. Další informace naleznete v tématu Implementace správy založené na rolích.
 | Modifikace zásady vystavování |
Otevřete modul snap-in Šablony certifikátů.
V podokně podrobností klikněte pravým tlačítkem myši na šablonu certifikátu, kterou chcete změnit, a potom klikněte na příkaz Vlastnosti.
Klikněte na kartu Požadavky na vystavování.
Zadejte požadované informace.