CA(인증 기관)에서는 정의된 규칙 집합을 사용하여 각 인증서 요청을 처리합니다. 인증서 템플릿의 사용을 조정하는 여러 확장을 통해 인증서 템플릿을 사용자 지정할 수 있습니다. 이러한 확장에는 다음 항목이 포함됩니다.
-
발급 정책. 발급 정책(등록 정책 또는 인증서 정책이라고도 함)은 인증서 발급 시 구현되는 관리 규칙 그룹입니다. 이는 CA에서 정의한 개체 식별자(OID라고도 함)로 인증서에 표시됩니다. 이 개체 식별자는 발급된 인증서에 포함되어 있습니다. 주체가 인증서를 제출하면 대상이 인증서를 검사하여 발급 정책을 확인하고 해당 수준의 발급 정책이 요청된 작업을 수행하기에 적합한지를 결정합니다. 자세한 내용은 발급 요구 사항을 참조하십시오.
-
응용 프로그램 정책. 응용 프로그램 정책을 사용하면 특정 용도에 사용할 수 있는 인증서를 결정할 수 있습니다. 이를 통해 사용자는 의도하지 않은 용도로 잘못 사용될 것을 염려하지 않고 두루 인증서를 발급할 수 있습니다. 응용 프로그램 정책은 확장된 키 사용 또는 향상된 키 사용이라고도 합니다. 일부 PKI(공개 키 인프라) 응용 프로그램 구현에서 응용 프로그램 정책을 해석할 수 없기 때문에 응용 프로그램 정책 및 향상된 키 사용 섹션이 모두 Windows Server 기반 CA에 의해 발급된 인증서에 나타납니다. 자세한 내용은 응용 프로그램 정책을 참조하십시오.
-
키 사용. 인증서를 사용하면 주체가 특정 작업을 수행할 수 있습니다. 인증서에 대한 제한이 자동으로 설정되어 원하는 용도를 벗어난 인증서 사용을 제어할 수 있도록 합니다. 키 사용은 인증서의 용도를 결정하는 제한 방법입니다. 이를 통해 관리자는 특정 작업에만 사용할 수 있는 인증서를 발급하거나 광범위한 기능에 사용할 수 있는 인증서를 발급할 수 있습니다. 자세한 내용은 키 사용을 참조하십시오.
-
키 보관. 주체가 개인 키를 잃어 버리면 해당 공개 키를 사용하여 영구적으로 암호화된 모든 정보에 액세스할 수 없게 됩니다. 이를 방지하기 위해 키 보관을 사용하면 인증서 발급 시 주체의 키를 암호화하여 CA 데이터베이스에 보관할 수 있습니다. 주체가 이 키를 잃어 버리는 경우 데이터베이스에서 해당 정보를 검색하여 주체에게 제공할 수 있습니다. 따라서 암호화된 정보를 잃어버리지 않고 복구할 수 있게 됩니다. 자세한 내용은 요청 처리를 참조하십시오.
-
기본 제약 조건. 기본 제약 조건을 사용하면 CA 인증서가 특정 응용 프로그램에서만 사용되도록 할 수 있습니다. 예를 들면 경로 길이를 기본 제약 조건으로 지정할 수 있습니다. 경로 길이는 현재 CA 아래에 허용되는 CA 수를 정의합니다. 이 경로 길이 제약 조건은 이 경로 끝의 CA가 CA 인증서가 아닌 최종 엔터티 인증서만 발급할 수 있도록 해 줍니다. 자세한 내용은 기본 제약 조건을 참조하십시오.
-
OCSP 해지 확인 안 함. 이 확장은 새 OCSP 응답 서명 인증서 템플릿과 이 템플릿으로부터 파생된 복제 템플릿에만 나타나며 다른 인증서 템플릿에는 추가할 수 없습니다. 이 확장은 CA가 발급된 인증서에 OCSP 해지 확인 안 함(id-pkix-ocsp-nocheck) 확장을 포함하고, 기관 정보 액세스 및 CRL(인증서 해지 목록) 배포 지점 확장은 포함하지 않도록 지시합니다. 이는 OCSP 응답 서명 인증서의 해지 상태가 확인되지 않기 때문입니다. 이 확장은 인증서 요청의 향상된 키 사용 및 응용 프로그램 정책에 OCSP 응답 서명이 포함되는 경우에만 적용됩니다.