証明機関 (CA) は、あらかじめ定義された規則のセットを使用して証明書の要求を個々に処理します。証明書テンプレートは、証明書の使用を制御する多数の拡張機能を使用して、カスタマイズすることができます。たとえば、次の拡張があります。

  • 発行ポリシー。発行ポリシーは登録ポリシーまたは証明書ポリシーとも呼ばれ、証明書を発行する際に実装される管理規則のグループです。これらのポリシーは、証明書内ではオブジェクト識別子 (OID) によって表されます。OID は CA で定義されます。オブジェクト識別子は、発行される証明書に含まれています。サブジェクトが証明書を提示すると、提示先では発行ポリシーを確認して証明書が調査され、発行ポリシーのレベルが、要求された操作を実行するために十分かどうかが判断されます。詳細については、「発行の要件」を参照してください。

  • アプリケーション ポリシー。アプリケーション ポリシーには、特定の目的に使用できる証明書を決定するための重要な機能があります。アプリケーション ポリシーを使用すると、証明書を広範囲に発行しても、意図しない目的で誤用されることを心配する必要がなくなります。アプリケーション ポリシーは "拡張キー使用法" と呼ばれることもあります。公開キー基盤 (PKI) アプリケーションの実装によってはアプリケーション ポリシーを解釈できない場合があるため、Windows Server ベースの CA によって発行される証明書には、アプリケーション ポリシーと拡張キー使用法の両方のセクションが存在します。詳細については、「アプリケーション ポリシー」を参照してください。

  • キー使用法。証明書は、サブジェクトが特定のタスクを実行できるようにします。証明書の本来の目的以外の使用法を容易に制御できるように、証明書には自動的に制限が適用されます。キー使用法は、特定の証明書をどのような目的に使用できるかを決定する 1 つの制御方法です。これにより、管理者は、特定のタスクだけに使用できる証明書や、幅広い機能に使用できる証明書を発行することができます。詳細については、「キー使用法」を参照してください。

  • キーのアーカイブ。サブジェクトが秘密キーを失うと、それに対応する公開キーを使用して、固定的に暗号化されたすべての情報にアクセスできなくなります。このような状況を防ぐために、キーのアーカイブ機能を使用できます。この機能によって、証明書の発行時にサブジェクトのキーを暗号化し、CA のデータベースにアーカイブできます。サブジェクトがキーを失った場合、データベースから情報が取得され、サブジェクトに提供されます。これにより、暗号化された情報を失わずに回復することが可能になります。詳細については、「要求の処理」を参照してください。

  • 基本制限。基本制限は、CA の証明書が特定のアプリケーションでのみ使用されるようにする場合に利用します。たとえば、パスの長さを基本制限として指定できます。パスの長さによって、現在の CA で許可される CA の数が定義されます。こうしたパスの長さの制限によって、このパスの末端にある CA はエンド エンティティ証明書のみを発行でき、CA の証明書は発行できなくなります。詳細については、「基本制限」を参照してください。

  • OCSP 失効確認なし。この拡張機能は、新しい "OCSP 応答の署名" 証明書テンプレートと、そのテンプレートから派生される複製のみを対象としています。それ以外の証明書テンプレートには追加されません。この拡張機能によって、CA は、OCSP 失効確認なし (id-pkix-ocsp-nocheck) 拡張機能を発行される証明書に追加できます。また、機関情報アクセス拡張機能と証明書失効リスト (CRL) 配布ポイント拡張機能を証明書に含めないようにすることもできます。これは、"OCSP 応答の署名" 証明書に対しては失効の状態が確認されないためです。この拡張機能は、証明書の要求の拡張キー使用法およびアプリケーション ポリシーに OCSP 応答の署名が含まれている場合にのみ適用されます。


目次