Eine Zertifizierungsstelle verarbeitet die einzelnen Zertifikatanforderungen mithilfe eines Satzes definierter Regeln. Zertifikatvorlagen können mit einer Reihe von Erweiterungen, die die Verwendung der Vorlagen regeln, angepasst werden. Beispiele:
-
Ausstellungsrichtlinien. Eine Ausstellungsrichtlinie (wird auch als Registrierungs- oder Zertifikatrichtlinie bezeichnet) ist eine Gruppe administrativer Regeln, die beim Ausstellen von Zertifikaten implementiert werden. Diese werden in einem Zertifikat durch eine Objektkennung (Object Identifier, OID) dargestellt, die in der Zertifizierungsstelle definiert ist. Diese Objektkennung ist in dem ausgestellten Zertifikat enthalten. Wenn ein Antragsteller sein Zertifikat präsentiert, kann dieses vom Ziel untersucht werden, um die Ausstellungsrichtlinie zu überprüfen und zu ermitteln, ob die Stufe der Ausstellungsrichtlinie zum Ausführen der angeforderten Aktion ausreicht. Weitere Informationen finden Sie unter Ausstellungsvoraussetzungen.
-
Anwendungsrichtlinien. Mit Anwendungsrichtlinien erhalten Sie die entscheidende Möglichkeit, festzulegen, welche Zertifikate für bestimmte Zwecke verwendet werden können. So können Sie viele Zertifikate ausstellen, ohne Bedenken zu haben, dass sie für einen unerwünschten Zweck verwendet werden. Anwendungsrichtlinien werden manchmal als erweiterte Schlüsselverwendung bezeichnet. Nicht alle Implementierungen von PKI-Anwendungen (Public Key Infrastructure, Public Key-Infrastruktur) können Anwendungsrichtlinien verarbeiten. Deshalb enthalten Zertifikate, die von einer auf Windows Server-basierenden Zertifizierungsstelle ausgestellt wurden, Abschnitte zu Anwendungsrichtlinien sowie Abschnitte zur erweiterten Schlüsselverwendung. Weitere Informationen finden Sie unter Anwendungsrichtlinie.
-
Schlüsselverwendung. Ein Zertifikat ermöglicht einem Antragsteller das Ausführen einer bestimmten Aufgabe. Zur leichteren Steuerung der Verwendung eines Zertifikats über seinen beabsichtigten Zweck hinaus werden automatisch Einschränkungen für Zertifikate festgelegt. Die Schlüsselverwendung ist eine Einschränkungsmethode, mit der Sie bestimmen, für welche Zwecke ein Zertifikat verwendet werden kann. So kann der Administrator Zertifikate ausstellen, die nur für bestimmte Aufgaben verwendet werden können, oder Zertifikate, die für viele verschiedene Funktionen verwendet werden können. Weitere Informationen finden Sie unter Schlüsselverwendung.
-
Schlüsselarchivierung. Wenn Antragsteller private Schlüssel verlieren, ist der Zugriff auf permanent mit dem entsprechenden öffentlichen Schlüssel verschlüsselte Informationen nicht mehr möglich. Dies kann durch die Schlüsselarchivierung verhindert werden, mit der Sie die Schlüssel eines Antragstellers beim Ausstellen von Zertifikaten verschlüsseln und in der Datenbank der Zertifizierungsstelle archivieren können. Wenn ein Antragsteller seine Schlüssel verliert, können die Informationen aus der Datenbank abgerufen und dem Antragsteller zur Verfügung gestellt werden. Dies bedeutet, dass die verschlüsselten Informationen nicht verloren sind, sondern wiederhergestellt werden können. Weitere Informationen finden Sie unter Anforderungsverarbeitung.
-
Basiseinschränkungen. Mit Basiseinschränkungen kann sichergestellt werden, dass Zertifizierungsstellenzertifikate nur in bestimmten Anwendungen verwendet werden. Ein Beispiel hierfür ist die Pfadlänge, die als Basiseinschränkung angegeben werden kann. Eine Pfadlänge definiert die Anzahl der Zertifizierungsstellen, die unterhalb der aktuellen Zertifizierungsstelle zulässig sind. Mit dieser Pfadlängeneinschränkung wird sichergestellt, dass Zertifizierungsstellen am Ende des Pfads keine Zertifizierungsstellenzertifikate, sondern nur Endeinheitszertifikate ausstellen können. Weitere Informationen finden Sie unter Basiseinschränkungen.
-
OCSP-Prüfung der Nichtsperrung. Diese Erweiterung wird nur in der neuen Zertifikatvorlage OCSP-Antwortsignatur und in von dieser Vorlage abgeleiteten Duplikaten angezeigt. Sie kann nicht zu anderen Zertifikatvorlagen hinzugefügt werden. Durch diese Erweiterung wird die Zertifizierungsstelle angewiesen, die Erweiterung OCSP-Prüfung der Nichtsperrung (id-pkix-ocsp-nocheck) in das ausgestellte Zertifikat einzuschließen und die Erweiterungen Zugriff auf Stelleninformationen und Zertifikatsperrlisten-Verteilungspunkt nicht in das Zertifikat aufzunehmen. Der Grund dafür ist, dass der Sperrstatus von OCSP-Antwortsignatur-Zertifikaten nicht überprüft wird. Diese Erweiterung gilt nur, wenn die Zertifikatanforderung OCSP-Antwortsignatur in der erweiterten Schlüsselverwendung und den Anwendungsrichtlinien enthält.