Las directivas de aplicación otorgan la importante capacidad de decidir qué certificados pueden usarse para determinados fines. Esto permite emitir certificados tranquilamente sin tener que preocuparse de que se usen para fines distintos de los previstos.
Las directivas de aplicación son un conjunto de opciones que informan a un destino de que el sujeto tiene un certificado que se puede usar para ejecutar una determinada tarea. Dichas reglas se representan en un certificado mediante un identificador de objeto (denominado también OID) que se define para una aplicación dada. Este identificador de objeto se incluye en el certificado emitido. Cuando un sujeto presenta su certificado, el destinatario del certificado puede examinar dicho certificado para comprobar la directiva de aplicación y determinar si el sujeto puede ejecutar la acción solicitada.
Las directivas de aplicación a veces se denominan uso de claves extendido o mejorado. Puesto que algunas implementaciones de aplicaciones de infraestructura de clave pública (PKI) no pueden interpretar las directivas de aplicación, tanto dichas directivas de aplicación como las secciones de uso mejorado de clave aparecen en los certificados emitidos por una entidad de certificación (CA) basada en Windows Server. En la siguiente tabla se enumeran algunas directivas de aplicación de uso habitual.
Propósito | Identificador de objeto |
---|---|
Autenticación del cliente |
1.3.6.1.5.5.7.3.2 |
Certificado de cifrado de CA |
1.3.6.1.4.1.311.21.5 |
Inicio de sesión de tarjeta inteligente |
1.3.6.1.4.1.311.20.2.2 |
Firma de documento |
1.3.6.1.4.1.311.10.3.12 |
Recuperación de archivos |
1.3.6.1.4.1.311.10.3.4.1 |
Recuperación de clave |
1.3.6.1.4.1.311.10.3.11 |
Firma de listas de confianza de Microsoft |
1.3.6.1.4.1.311.10.3.1 |
Subordinación certificada |
1.3.6.1.4.1.311.10.3.10 |
Firmante de listas de raíz |
1.3.6.1.4.1.311.10.3.9 |
La capacidad de modificar o crear directivas de aplicación nuevas sólo está disponible con las plantillas de certificado de las versiones 2 y 3. Para obtener más información, consulte Plantillas de certificado predeterminadas.
Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla modificada si ya tienen un certificado válido basado en la plantilla anterior. Para obtener más información a este respecto, consulte Volver a inscribir a todos los propietarios de certificados.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para agregar una directiva de aplicación |
Abra el complemento Plantillas de certificado.
En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.
En la ficha Extensiones, haga clic en Directivas de aplicación y, a continuación, haga clic en Editar.
En Editar extensión de directivas de aplicación, haga clic en Agregar.
En Agregar directivas de aplicación, haga clic en la directiva de aplicación que desea agregar y, a continuación, haga clic en Aceptar.
Puede que la directiva de aplicación que desea no esté disponible. En ese caso, puede crear una directiva de aplicación nueva.
Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más información, vea el tema acerca de la Implementación de la administración basada en funciones.
Para crear una directiva de aplicación |
Abra el complemento Plantillas de certificado.
En el panel Detalles, haga clic con el botón secundario en la plantilla de certificado que desea cambiar y, a continuación, haga clic en Propiedades.
En la ficha Extensiones, haga clic en Directivas de aplicación y, a continuación, haga clic en Editar.
En Editar extensión de directivas de aplicación, haga clic en Agregar.
En Agregar directivas de aplicación, haga clic en Nuevas.
Proporcione la información solicitada.