Les stratégies d’application vous permettent en particulier de choisir quels certificats utiliser à des fins spécifiques. Vous pouvez ainsi délivrer un grand nombre de certificats sans risque qu’ils soient utilisés de manière abusive.
Les stratégies d’application sont des paramètres qui informent une cible que le sujet détient un certificat qui peut être utilisé pour une tâche spécifique. Ces règles sont représentées dans un certificat par un identificateur d’objet (également appelé un OID) défini pour une application donnée. Cet identificateur d’objet est inclus dans le certificat délivré. Lorsqu’un sujet présente son certificat, ce dernier peut être examiné par le destinataire du certificat afin de vérifier la stratégie d’application et déterminer si le sujet peut exécuter l’action demandée.
Les stratégies d’application sont parfois appelées utilisation étendue de la clé ou utilisation améliorée de la clé. Étant donné que certaines implémentations des applications d’infrastructure de clés publiques (PKI) ne peuvent pas interpréter les stratégies d’application, les stratégies d’application et les sections d’utilisation de la clé améliorée apparaissent dans les certificats délivrés par une Autorité de certification basée sur Windows Server. Le tableau suivant répertorie certaines stratégies d’application couramment utilisées.
| Objectif | Identificateurs d’objets |
|---|---|
|
Authentification du client |
1.3.6.1.5.5.7.3.2 |
|
Certificat de chiffrement de l’autorité de certification |
1.3.6.1.4.1.311.21.5 |
|
Ouverture de session par carte à puce |
1.3.6.1.4.1.311.20.2.2 |
|
Signature du document |
1.3.6.1.4.1.311.10.3.12 |
|
Récupération de fichier |
1.3.6.1.4.1.311.10.3.4.1 |
|
Récupération de clé |
1.3.6.1.4.1.311.10.3.11 |
|
Signature de liste d’approbation Microsoft |
1.3.6.1.4.1.311.10.3.1 |
|
Subordination qualifiée |
1.3.6.1.4.1.311.10.3.10 |
|
Signataire liste racine |
1.3.6.1.4.1.311.10.3.9 |
La possibilité de modifier ou de créer de nouvelles stratégies d’application n’est disponible que dans les modèles de certificats version 2 et version 3. Pour plus d’informations, voir Modèles de certificats par défaut.
Les clients doivent être réinscrits pour recevoir un certificat basé sur un modèle modifié s’ils possèdent déjà un certificat valide basé sur le modèle précédent. Pour plus d’informations sur la réinscription des clients, voir Réinscrire tous les propriétaires de certificats.
Pour effectuer cette procédure, vous devez appartenir au minimum au groupe Admins du domaine ou Administrateurs de l’entreprise ou à un compte équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.
 | Pour ajouter une stratégie d’application |
Ouvrez le composant logiciel enfichable Modèles de Certificats.
Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.
Sous l’onglet Extensions, cliquez sur Stratégies d’application, puis sur Modifier.
Dans Modifier l’extension des stratégies d’application, cliquez sur Ajouter.
Dans Ajouter une stratégie d’application, cliquez sur la stratégie d’application que vous souhaitez ajouter, puis cliquez sur OK.
La stratégie d’application de votre choix peut ne pas être disponible. Dans ce cas, vous pouvez créer une nouvelle stratégie d’application.
Pour effectuer cette procédure, vous devez appartenir au minimum au groupe Admins du domaine ou Administrateurs de l’entreprise ou à un compte équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.
| Pour créer une stratégie d’application |
Ouvrez le composant logiciel enfichable Modèles de Certificats.
Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.
Sous l’onglet Extensions, cliquez sur Stratégies d’application, puis cliquez sur Modifier.
Dans Modifier l’extension des stratégies d’application, cliquez sur Ajouter.
Dans Ajouter une stratégie d’application, cliquez sur Nouveau.
Entrez les informations demandées.