Uma AC (autoridade de certificação) processa cada pedido de certificado utilizando um conjunto específico de regras. A AC poderá emitir alguns certificados sem prova de identificação e exigir uma prova de identificação antes da emissão de outros tipos de certificados. Esta situação gera níveis de certificação diferentes para certificados diferentes. Estes níveis de certificação são representados nos certificados como políticas de emissão.

Uma política de emissão (também conhecida como uma política de inscrição ou de certificação) é um grupo de regras administrativas que é implementado quando os certificados são emitidos. Estas são representadas num certificado por um identificador de objecto (também conhecido como um OID) que é definido na AC. Este identificador de objecto está incluído no certificado emitido. Quando um requerente apresenta o respectivo certificado, este pode ser examinado pelo destinatário para verificar a política de emissão e determinar se o nível de política de emissão é suficiente para que seja possível executar a acção solicitada.

O Windows Server 2008 R2, Windows Server 2008 e o Windows Server 2003 incluem quatro políticas de emissão predefinidas:

  • Todas as Políticas de Emissão (2.5.29.32.0). Esta política indica que a política de emissão contém todas as outras políticas de emissão. Normalmente, este identificador de objecto só é atribuído a certificados de AC.

  • Certeza Baixa (1.3.6.1.4.1.311.21.8.x.y.z.1.400). O identificador de objecto de certeza baixa é utilizado para representar certificados que são emitidos sem requisitos de segurança adicionais.

    Nota

    A parte x.y.z do identificador de objecto é uma sequência numérica gerada aleatoriamente exclusiva para cada floresta do Active Directory.

  • Certeza Média (1.3.6.1.4.1.311.21.8.x.y.z.1.401). O identificador de objecto de certeza média é utilizado para representar certificados que têm requisitos de segurança adicionais para emissão. Por exemplo, um certificado de smart card emitido numa reunião pessoal com um emissor de smart card poderá ser considerado um certificado de certeza média e conter o identificador de objecto de certeza média.

  • Certeza Alta (1.3.6.1.4.1.311.21.8.x.y.z.1.402). O identificador de objecto de certeza alta é utilizado para representar certificados que são emitidos com os níveis de segurança mais elevados. Por exemplo, a emissão de um certificado do agente de recuperação de chaves poderá necessitar de verificações em segundo plano adicionais e de uma assinatura digital de um aprovador designado uma vez que uma pessoa com este certificado poderá recuperar material da chave privada a partir de uma AC empresarial.

Além disso, pode criar os seus próprios identificadores de objectos para representar políticas de emissão personalizadas.

Quando os requerentes submetem pedidos de certificados para uma AC, o pedido pode ser aprovado automaticamente ou ficar num estado "pendente". Um estado pendente é utilizado normalmente para certificados que exigem um nível mais elevado de certificação e, consequentemente, exigem mais administração e verificações adicionais do pedido. Existem várias definições que podem configurar os requisitos de autenticação e de assinatura para certificados de emissão baseados num modelo.

Definição Descrição

Aprovação do gestor de certificados da CA

Todos os certificados são colocados no contentor pendente para que um gestor de certificados possa emitir ou negar os mesmos.

Este número de assinaturas autorizadas

Esta definição exige que o pedido de certificado esteja digitalmente assinado por um ou mais requerentes antes de ser emitido. Isto permite vários outros parâmetros de configuração.

Tipo de política necessário na assinatura

As assinaturas necessárias para a emissão de um certificado têm de conter uma política de aplicação, política de emissão específicas ou ambas. É assim que a AC determina se a assinatura está correcta para autorizar a emissão do certificado de um requerente. Esta opção está activada quando a opção Este número de assinaturas autorizadas está definida.

Política de aplicação

Especifica a política de aplicação a verificar quando um pedido de certificado é assinado. Esta opção está activada quando Tipo de política necessário na assinatura está definida como Política de aplicação ou Política de aplicação e de emissão.

Política de emissão

Especifica as políticas de emissão a verificar quando um pedido de certificado é assinado. Esta opção está activada quando Tipo de política necessário na assinatura está definida como Política de emissão ou Política de aplicação e de emissão.

A capacidade de modificar ou criar novas políticas de aplicação só está disponível nos modelos de certificado da versão 2 e 3. Para mais informações, consulte Modelos de Certificado Predefinidos.

É necessário que os clientes se inscrevam novamente para receberem um certificado baseado num modelo modificado, caso já tenham um certificado válido baseado no modelo anterior. Para mais informações sobre reinscrição de clientes, consulte Reinscrever Todos os Detentores de Certificados.

É necessária, pelo menos, uma associação a Admins do Domínio, Admins de Empresa, ou equivalente, para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para modificar uma política de emissão
  1. Abra o snap-in Modelos de Certificado.

  2. No painel de detalhes, clique com o botão direito do rato no modelo de certificado que pretende alterar e, em seguida, clique em Propriedades.

  3. Clique no separador Requisitos de emissão.

  4. Forneça as informações solicitadas.