Een CA (certificeringsinstantie) verwerkt elke certificaataanvraag aan de hand van een gedefinieerde reeks regels. De CA kan sommige certificaten verlenen zonder identificatiebewijs en identificatiebewijs vereisen voordat andere typen certificaten worden uitgegeven. Hierdoor ontstaan verschillende zekerheidsniveaus voor verschillende certificaten. Deze zekerheidsniveaus worden in certificaten weergegeven als uitgiftebeleid.

Een uitgiftebeleid (ook wel een inschrijvings- of certificaatbeleid genoemd) bestaat uit een groep beheerregels die worden geïmplementeerd bij de uitgifte van certificaten. De regels worden in een certificaat weergegeven door een object-id (of OID) die door de CA wordt gedefinieerd. Deze object-id is opgenomen in het verleende certificaat. Wanneer een certificaathouder het certificaat presenteert, kan dit door het doel worden onderzocht om het toepassingenbeleid te verifiëren en om vast te stellen of het niveau van het uitgiftebeleid toereikend is om de gevraagde bewerking te kunnen uitvoeren.

Windows Server 2008 R2, Windows Server 2008 en Windows Server 2003 hebben vier vooraf gedefinieerde uitgiftebeleidsregels:

  • Alle beleidsregels voor uitgeven (2.5.29.32.0). Dit beleid bevat alle andere uitgiftebeleidsregels. Deze object-id wordt meestal alleen aan CA-certificaten toegewezen.

  • Lage zekerheid (1.3.6.1.4.1.311.21.8.x.y.z.1.400). De object-id Lage zekerheid wordt gebruikt voor certificaten die zonder extra beveiligingsvereisten worden uitgegeven.

    Opmerking

    Het x.y.z-deel van de object-id is een willekeurig gegenereerde, unieke nummerreeks voor elk Active Directory-forest.

  • Gemiddelde zekerheid (1.3.6.1.4.1.311.21.8.x.y.z.1.401). De object-id Gemiddelde zekerheid wordt gebruikt voor certificaten die extra beveiligingsvereisten voor uitgifte hebben. Een certificaat van een smartcard dat wordt verleend in een persoonlijke ontmoeting met de uitgever van smartcards, kan als certificaat met gemiddelde zekerheid worden beschouwd en de object-id Gemiddelde zekerheid bevatten.

  • Hoge zekerheid (1.3.6.1.4.1.311.21.8.x.y.z.1.402). De object-id Hoge zekerheid wordt gebruikt voor certificaten die met de hoogste beveiliging worden uitgegeven. Voor de uitgifte van een certificaat voor een sleutelherstelagent zijn misschien extra achtergrondcontroles vereist, evenals een digitale handtekening van een specifieke goedkeurder, omdat deze certificaathouder materiaal van persoonlijke sleutels uit een CA voor een onderneming kan ophalen.

Bovendien kunt u uw eigen object-id's maken die eigen uitgiftebeleidsregels representeren.

Wanneer certificaathouders een certificaataanvraag bij een CA indienen, kan de aanvraag automatisch worden goedgekeurd of de status 'in behandeling' krijgen. Deze status wordt meestal gebruikt voor certificaten die een hoger zekerheidsniveau vereisen, en dus meer administratie en verdere verificatie van de aanvraag. De verificatie- en handtekeningvereisten voor uitgiftecertificaten die op een sjabloon zijn gebaseerd, kunnen via een aantal instellingen worden geconfigureerd.

Instelling Beschrijving

Goedkeuring van de CA-certificaatbeheerder

Alle certificaten worden in de container In behandeling geplaatst, waar een certificaatbeheerder ze kan verlenen of weigeren.

Dit aantal geautoriseerde handtekeningen

Deze instelling vereist dat de certificaataanvraag door een of meer certificaathouders digitaal wordt ondertekend voordat het certificaat kan worden verleend. Hierdoor worden verschillende andere configuratieparameters geactiveerd.

Type beleid dat zich in handtekening dient te bevinden

De handtekeningen die zijn vereist voor het uitgeven van een certificaat, moeten een specifiek toepassingenbeleid, uitgiftebeleid of beide bevatten. Zo bepaalt de CA of de handtekening kan worden gebruikt om het verlenen van het certificaat van de certificaathouder te machtigen. Deze optie wordt ingeschakeld wanneer Dit aantal geautoriseerde handtekeningen wordt ingesteld.

Toepassingenbeleid

Hiermee wordt het toepassingenbeleid opgegeven dat moet worden geverifieerd bij het ondertekenen van een certificaataanvraag. Deze optie wordt ingeschakeld wanneer Beleidstype vereist in handtekening wordt ingesteld op Toepassingenbeleid of Zowel het toepassings- als het uitgiftebeleid.

Uitgiftebeleid

Hiermee worden de uitgiftebeleidsregels opgegeven die moeten worden geverifieerd bij het ondertekenen van een certificaataanvraag. Deze optie wordt ingeschakeld wanneer Beleidstype vereist in handtekening wordt ingesteld op Uitgiftebeleid of Zowel het toepassings- als het uitgiftebeleid.

U kunt alleen in certificaatsjablonen van versie 2 en 3 nieuwe toepassingenbeleidsregels maken of regels wijzigen. Zie Standaardcertificaatsjablonen voor meer informatie.

Clients moeten zich opnieuw inschrijven om een certificaat te ontvangen dat is gebaseerd op een gewijzigde sjabloon, als ze al een geldige sjabloon bezitten die is gebaseerd op de vorige sjabloon. Zie Alle certificaathouders opnieuw inschrijven voor meer informatie.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators, Ondernemingsadministrators of een vergelijkbare groep. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Een uitgiftebeleid wijzigen

  1. Open de module Certificaatsjablonen.

  2. Klik in het detailvenster met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.

  3. Klik op de tab Uitgiftevereisten.

  4. Geef de gevraagde informatie op.

Aanvullende naslaginformatie

Inhoudsopgave