Ogni richiesta di certificato viene elaborata da un'Autorità di certificazione (CA) in base a un insieme definito di regole. I modelli di certificato possono essere personalizzati con diverse estensioni che ne regolano l'utilizzo. Di seguito vengono descritte alcune di queste estensioni:
-
Criteri di rilascio. I criteri di rilascio (noti anche come criteri di registrazione o criteri dei certificati) rappresentano un gruppo di regole amministrative applicate per il rilascio dei certificati. In un certificato tali regole sono rappresentate da un identificatore di oggetto (noto anche come OID) definito dalla CA. L'identificatore di oggetto è incluso nel certificato rilasciato. Quando un soggetto presenta il proprio certificato, questo può essere esaminato dalla destinazione per verificare il criterio di rilascio e determinare se il livello di tale criterio è sufficiente per eseguire l'azione richiesta. Per ulteriori informazioni, vedere Requisiti di rilascio.
-
Criteri di applicazione. I criteri di applicazione offrono l'importante opportunità di decidere quali certificati possono essere utilizzati per scopi specifici. In questo modo è possibile rilasciare certificati su vasta scala senza preoccuparsi che vengano utilizzati in modo improprio per uno scopo indesiderato. I criteri di applicazione vengono a volte definiti criteri di utilizzo chiavi avanzato. Poiché alcune implementazioni di applicazioni di infrastruttura a chiave pubblica (PKI) non sono in grado di interpretare i criteri di applicazione, nei certificati rilasciati da una CA basata su Windows Server è presente sia la sezione dei criteri di applicazione che quella dei criteri di utilizzo chiavi avanzato. Per ulteriori informazioni, vedere Criteri di applicazione.
-
Utilizzo chiave. Con un certificato, il soggetto è in grado di eseguire una determinata attività. Per poter controllare l'utilizzo di un certificato al di là dello scopo previsto, ai certificati vengono applicate automaticamente alcune restrizioni. L'utilizzo chiave è un metodo di restrizione che stabilisce il tipo di utilizzo di un certificato. In questo modo l'amministratore potrà rilasciare certificati che possono essere utilizzati solo per specifiche attività oppure per una vasta gamma di funzioni. Per ulteriori informazioni, vedere Utilizzo chiave.
-
Archiviazione chiavi. Se i soggetti smarriscono le proprie chiavi private, tutte le informazioni crittografate in modo permanente con la chiave pubblica corrispondente diventano inaccessibili. Per evitare questo tipo di problema, l'archiviazione chiavi consente di crittografare e archiviare le chiavi di un soggetto nel database CA quando vengono rilasciati i certificati. Se pertanto un soggetto smarrisce le chiavi, sarà possibile fornirgli di nuovo tali informazioni recuperandole dal database. In questo modo è possibile recuperare le informazioni crittografate anziché perderle definitivamente. Per ulteriori informazioni, vedere Gestione richiesta.
-
Limitazioni di base. Le limitazioni di base hanno la funzione di garantire che i certificati CA vengano utilizzati solo in alcune applicazioni. Un esempio di limitazione di base è la possibilità di specificare la lunghezza del percorso. Tale lunghezza determina il numero di CA consentite al di sotto della CA corrente. Applicando la limitazione della lunghezza, le CA alla fine del percorso possono rilasciare solo certificati finali e non certificati CA. Per ulteriori informazioni, vedere Limitazioni di base.
-
Nessun controllo di revoca OCSP. Questa estensione è disponibile solo nel nuovo modello di certificato Firma risposta OCSP e nei duplicati che derivano da tale modello. Non può pertanto essere aggiunta ad altri modelli di certificato. Tale estensione indica alla CA di includere l'estensione Nessun controllo di revoca OCSP (id-pkix-ocsp-nocheck) nel certificato rilasciato e di non includere le estensioni Accesso alle informazioni dell'autorità e Punti di distribuzione Elenco di revoche di certificati (CLR). I certificati Firma risposta OCSP infatti non vengono controllati per verificare lo stato della revoca. L'estensione si applica solo se la richiesta di certificato contiene Firma risposta OCSP nei criteri di utilizzo chiavi avanzato e nei criteri di applicazione.