証明書の拡張機能

アプリケーション ポリシーは、サブジェクトが特定のタスクに使用可能な証明書を保持していることをターゲットに通知する設定です。これらは、証明書内では、特定のアプリケーションに対して定義されるオブジェクト識別子として表示されます。オブジェクト識別子は、発行される証明書に含まれています。サブジェクトが証明書を提示すると、ターゲットが証明書を調査し、アプリケーション ポリシーを確認して、要求されたアクションをそのサブジェクトが実行できるかどうかを判別します。

発行ポリシーは証明書ポリシーとも呼ばれ、証明書のサブジェクトの確認に使用される機能を定義します。これにより、発行される証明書の保証レベルが定義されます。たとえば、発行される証明書の保証レベルを高めるために、証明書を発行する前に対面会議が必要であるなどです。

証明書のサブジェクトの種類は証明書のテンプレート情報とも呼ばれ、証明書または証明書テンプレートの目的を定義します。

証明書のサブジェクトの種類の拡張子を編集することはできません。管理者が特定のサブジェクトの種類を証明書に適用する必要がある場合は、必要なサブジェクトの種類が含まれている証明書テンプレートを複製する必要があります。

証明書は、サブジェクトが特定のタスクを実行できるようにします。証明書の本来の目的以外の使用法を容易に制御できるように、証明書には自動的に制限が適用されます。キー使用法は、特定の証明書をどのような目的に使用できるかを決定する 1 つの制御方法です。これにより、管理者は、特定のタスクだけに使用できる証明書や、幅広い機能に使用できる証明書を発行することができます。キー使用法が指定されない場合、証明書は任意の目的に使用することができます。

署名に関しては、キー使用法は次の 1 つ以上の目的に限定できます。

• [デジタル署名]
  
  
• [署名は発行元の証明である (非否認)]
  
  
• [証明書の署名]
  
  
• [CRL 署名]
  
  

暗号化キーの使用法に関しては、次のオプションが利用可能です。

• [キー暗号化なしのキー交換を許可する]
  
  
• [キー暗号化のみキー交換を許可する]
  
  

証明書の要求には、証明機関 (CA) が要求された証明書の作成に必要とする情報のほかに、この証明書の要求がどのように作成されたかを示す属性も含まれます。この証明書の要求属性には、要求の作成に使用されたオペレーティング システムのバージョンとアプリケーション、キーの組の生成に使用された暗号化サービス プロバイダー、要求に使用された証明書テンプレートなどの詳細が含まれます。

属性は、証明書スナップインを使用して作成された証明書の要求には自動的に追加され、各証明書の要求と併せて CA データベースに保存されます。

その他の参照情報

• 証明書を要求する