Une Autorité de certification (CA) traite chaque demande de certificat en faisant appel à jeu défini de règles. Les modèles de certificats peuvent être personnalisés par un ensemble d’extensions chargées de régler leur utilisation. Ces extensions sont les suivantes :
-
Stratégies d’émission. Une stratégie d’émission (également appelée stratégie de certificat ou d’inscription) est un groupe de règles administratives implémentées lorsque les certificats sont émis. Ces règles sont représentées dans un certificat par un identificateur d’objet (également appelé un OID) défini au niveau de l’Autorité de certification. Cet identificateur d’objet est inclus dans le certificat délivré. Lorsqu’un sujet présente son certificat, ce dernier peut être examiné par le destinataire pour vérifier la stratégie d’émission et déterminer si le niveau de cette stratégie est suffisant pour exécuter l’action demandée. Pour plus d’informations, voir Conditions d’émission.
-
Stratégies d’application. Les stratégies d’application vous permettent en particulier de choisir quels certificats utiliser à des fins spécifiques. Vous pouvez ainsi délivrer un grand nombre de certificats sans risque qu’ils soient utilisés de manière abusive. Les stratégies d’application sont parfois appelées utilisation étendue de la clé ou utilisation améliorée de la clé. Étant donné que certaines implémentations des applications d’infrastructure de clés publiques (PKI) ne peuvent pas interpréter les stratégies d’application, les stratégies d’application et les sections d’utilisation de la clé améliorée apparaissent dans les certificats délivrés par une Autorité de certification basée sur Windows Server. Pour plus d’informations, voir Stratégie d’application.
-
Utilisation de la clé. Un certificat permet au sujet d’exécuter une tâche spécifique. Pour aider à contrôler l’utilisation d’un certificat en dehors de sa fonction, des restrictions sont automatiquement placées sur les certificats. L’utilisation de la clé est une méthode de restriction qui détermine le type d’utilisation d’un certificat. L’administrateur peut ainsi émettre des certificats qui ne pourront être utilisés que pour des tâches spécifiques ou pour délivrer des certificats pouvant être utilisés pour de nombreuses fonctions. Pour plus d’informations, voir Utilisation de la clé.
-
Archivage de la clé. Lorsque des sujets perdent leurs clés privées, les informations chiffrées de manière permanente à l’aide de la clé publique sont inaccessibles. Pour éviter ce problème, l’archivage de la clé vous permet de chiffrer et d’archiver les clés d’un site dans la base de données de l’Autorité de certification lorsque les certificats sont délivrés. Si un sujet perd ses clés, il est possible de récupérer les informations dans la base de données et de les fournir au sujet. De cette manière, il est possible de récupérer les informations chiffrées au lieu de les perdre. Pour plus d’informations, voir Traitement de la demande.
-
Contraintes de base. Les contraintes de base permettent de garantir que l’utilisation des certificats de l’Autorité de certification est réservée à certaines applications. Parmi les exemples de contraintes de base qu’il est possible de définir figure la longueur du chemin d’accès. La longueur du chemin d’accès définit le nombre d’Autorités de certification qui sont autorisées sous l’Autorité de certification actuelle. Cette contrainte garantit que les autorités de certification à la fin de ce chemin ne peuvent délivrer que des certificats d’entités finales, pas des certificats de l’Autorité de certification. Pour plus d’informations, voir Contraintes de base.
-
OCSP Aucune vérification de révocation. Cette extension n’apparaît que dans le nouveau modèle de certificat de signature de réponse OCSP et les doublons issus de ce modèle. Elle ne peut pas être ajoutée à d’autres modèles de certificats. Cette extension indique à l’Autorité de certification d’inclure l’extension OCSP Aucune vérification de révocation (id-pkix-ocsp-nocheck) dans le certificat délivré et de pas inclure les extensions de point de distribution des listes de révocation de certificat et de l’accès aux informations d’autorité dans le certificat. En effet, le statut de révocation des certificats de signature de réponse OCSP ne fait pas l’objet d’une vérification. Cette extension ne s’applique que si la demande de certificat contient la signature de réponse OCSP dans l’utilisation améliorée de la clé et des stratégies d’application.