Urząd certyfikacji przetwarza każde żądanie certyfikatu za pomocą zdefiniowanego zestawu reguł. Szablony certyfikatów można dostosowywać za pomocą kilku rozszerzeń, które regulują używanie tych szablonów. Do tych rozszerzeń należą:
-
Zasady wystawiania. Zasada wystawiania (nazywana też zasadą rejestracji lub zasadą certyfikatu) to grupa reguł administracyjnych, które są implementowane podczas wystawiania certyfikatów. Reguły te są przedstawione w certyfikacie przez identyfikator obiektu (znany także jako OID), który jest zdefiniowany w urzędzie certyfikacji. Identyfikator obiektu jest dołączony do wystawionego certyfikatu. Obiekt docelowy może sprawdzić certyfikat przedstawiony przez podmiot w celu zweryfikowania zasady wystawiania i stwierdzenia, czy poziom zasady wystawiania jest wystarczający do wykonania żądanej akcji. Aby uzyskać więcej informacji, zobacz temat Wymagania wystawiania.
-
Zasady aplikacji. Zasady aplikacji dają użytkownikowi istotną możliwość decydowania o tym, które certyfikaty mogą być używane do określonych celów. Pozwala to wystawiać certyfikaty w szerokim zakresie bez obawy, że są one używane w niewłaściwy sposób i w niezamierzonym celu. Zasady aplikacji są czasami nazywane rozszerzonym użyciem klucza. Ponieważ w ramach niektórych implementacji aplikacji infrastruktury kluczy publicznych (PKI) nie jest możliwe interpretowanie zasad aplikacji, w certyfikatach wystawianych przez urząd certyfikacji z systemem Windows Server pojawiają się zarówno sekcje zasad aplikacji, jak i sekcje rozszerzonego użycia klucza. Aby uzyskać więcej informacji, zobacz temat Zasada aplikacji.
-
Użycie klucza. Certyfikat umożliwia podmiotowi wykonanie określonego zadania. Aby zapobiec niezgodnemu z przeznaczeniem używaniu certyfikatu, w certyfikatach są automatycznie definiowane ograniczenia. Użycie klucza to metoda ograniczania określająca, do czego certyfikat może być używany. Pozwala to administratorowi wystawiać certyfikaty, które mogą być używane tylko do określonych zadań, lub certyfikaty, które mogą być używane do wielu różnych funkcji. Aby uzyskać więcej informacji, zobacz temat Użycie klucza.
-
Archiwizacja kluczy. Gdy podmiot utraci swój klucz prywatny, wszelkie informacje, które były na stałe zaszyfrowane za pomocą odpowiadającego klucza publicznego, są niedostępne. Aby temu zapobiec, archiwizacja kluczy pozwala szyfrować i archiwizować klucze podmiotu w bazie danych urzędu certyfikacji podczas wystawiania certyfikatów. Jeśli podmiot utraci swoje klucze, informacje mogą zostać pobrane z bazy danych i dostarczone podmiotowi. Dzięki temu można odzyskiwać zaszyfrowane informacje, nie narażając się na ich utratę Aby uzyskać więcej informacji, zobacz temat Obsługiwanie żądań.
-
Podstawowe warunki ograniczające. Podstawowe warunki ograniczające mają na celu zagwarantowanie, że certyfikaty urzędu certyfikacji są używane tylko w określonych aplikacjach. Przykładem jest długość ścieżki, która może zostać określona jako podstawowy warunek ograniczający. Długość ścieżki określa liczbę urzędów certyfikacji dozwolonych pod bieżącym urzędem certyfikacji. Ten warunek ograniczający dotyczący długości ścieżki gwarantuje, że urzędy certyfikacji na końcu tej ścieżki mogą wystawiać tylko certyfikaty jednostek końcowych, a nie certyfikaty urzędu certyfikacji. Aby uzyskać więcej informacji, zobacz temat Podstawowe warunki ograniczające.
-
Protokół OCSP bez sprawdzania odwołania. To rozszerzenie pojawia się tylko w nowym szablonie certyfikatu z rozszerzeniem Podpisywanie odpowiedzi protokołu OCSP oraz w duplikatach utworzonych na podstawie tego szablonu. Nie można go dodać do żadnych innych szablonów certyfikatów. To rozszerzenie nakazuje urzędowi certyfikacji dołączyć rozszerzenie Protokół OCSP bez sprawdzania odwołania (id-pkix-ocsp-nocheck) do wystawionego certyfikatu oraz nie dołączać do niego rozszerzeń dostępu do informacji o urzędzie i punktów dystrybucji list odwołania certyfikatów (CRL). Jest tak dlatego, że certyfikaty z rozszerzeniem Podpisywanie odpowiedzi protokołu OCSP nie są sprawdzane pod kątem stanu odwołania. To rozszerzenie ma zastosowanie tylko wtedy, gdy żądanie certyfikatu zawiera rozszerzenie Podpisywanie odpowiedzi protokołu OCSP w rozszerzonym użyciu klucza oraz zasady aplikacji.