アプリケーション ポリシーは、特定の目的に対してどの証明書を使用できるのかを決めるという重要な機能を提供します。これにより、意図しない目的で使用される心配がなくなり、証明書を広範囲に発行できます。
アプリケーション ポリシーは、サブジェクトが特定のタスクに使用可能な証明書を保持していることをターゲットに通知する設定です。これらは証明書の中でオブジェクト識別子 (OID) として表されます。OID は対象のアプリケーションに対して定義されます。オブジェクト識別子は、発行される証明書に含まれています。サブジェクトが証明書を提示すると、証明書の受信者が証明書を調査し、アプリケーション ポリシーを確認して、要求されたアクションをそのサブジェクトが実行できるかどうかを判別します。
アプリケーション ポリシーは拡張キー使用法と呼ばれることもあります。公開キー基盤 (PKI) アプリケーションの実装によってはアプリケーション ポリシーを解釈できない場合があるため、Windows Server ベースの認証機関 (CA) によって発行される証明書には、アプリケーション ポリシーと拡張キー使用法の両方のセクションが存在します。よく使用されるアプリケーション ポリシーの例を次の表に示します。
目的 | オブジェクト識別子 |
---|---|
クライアント認証 |
1.3.6.1.5.5.7.3.2 |
CA 暗号化証明書 |
1.3.6.1.4.1.311.21.5 |
スマート カード ログオン |
1.3.6.1.4.1.311.20.2.2 |
ドキュメントの署名 |
1.3.6.1.4.1.311.10.3.12 |
ファイル回復 |
1.3.6.1.4.1.311.10.3.4.1 |
キー回復 |
1.3.6.1.4.1.311.10.3.11 |
Microsoft 信頼リストの署名 |
1.3.6.1.4.1.311.10.3.1 |
限定従属 |
1.3.6.1.4.1.311.10.3.10 |
ルート リスト署名者 |
1.3.6.1.4.1.311.10.3.9 |
アプリケーション ポリシーの変更または新規作成の機能は、バージョン 2 およびバージョン 3 の証明書テンプレートでのみ使用できます。詳細については、「既定の証明書テンプレート」を参照してください。
以前のテンプレートに基づく有効な証明書が既にクライアントにある場合は、変更されたテンプレートに基づく証明書を受信するようにクライアントを再登録する必要があります。クライアントの再登録の詳細については、「すべての証明書保持者を再登録する」を参照してください。
この手順を実行するには、最低限 Domain Admins、Enterprise Admins、またはそれと同等のメンバーシップが必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
アプリケーション ポリシーを追加するには |
証明書テンプレート スナップインを開きます。
詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。
[拡張] タブで、[アプリケーション ポリシー] をクリックし、[編集] をクリックします。
[アプリケーション ポリシーの拡張の編集] で、[追加] をクリックします。
[アプリケーション ポリシーの追加] で、追加するアプリケーション ポリシーをクリックし、[OK] をクリックします。
必要なアプリケーション ポリシーが使用できない場合は、アプリケーション ポリシーを新規に作成できます。
この手順を実行するには、最低限 Domain Admins、Enterprise Admins、またはそれと同等のメンバーシップが必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
アプリケーション ポリシーを作成するには |
証明書テンプレート スナップインを開きます。
詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。
[拡張] タブで、[アプリケーション ポリシー] をクリックし、[編集] をクリックします。
[アプリケーション ポリシーの拡張の編集] で、[追加] をクリックします。
[アプリケーション ポリシーの追加] で、[新規] をクリックします。
要求された情報を入力します。