En certifikatutfärdare behandlar varje certifikatbegäran utifrån en särskild uppsättning regler. Certifikatmallar kan anpassas med ett antal tillägg som reglerar användningen. Tilläggen kan vara av följande typ:
-
Utgivningsprinciper. En utgivningsprincip (kallas även registreringsprincip eller certifikatprincip) är en uppsättning administrativa regler som implementeras vid utfärdandet av certifikat. De representeras i certifikatet av en objektidentifierare (OID) som definieras i certifikatutfärdaren. Objektidentifieraren ingår i det utfärdade certifikatet. När ett ämne presenterar ett certifikat kan detta undersökas av målet för att kontrollera utgivningsprincipen och avgöra om utgivningsprincipsnivån är tillräckligt hög för den begärda åtgärden. Mer information finns i Krav för utfärdande.
-
Användningsprinciper. Med hjälp av användningsprinciper kan du avgöra vilka certifikat som ska användas för ett visst ändamål. Det innebär att du kan utfärda certifikat till flera utan att behöva bekymra dig om att de ska användas i fel syfte. Användningsprinciper kallas ibland för utökad nyckelanvändning eller avancerad nyckelanvändning. Vissa implementeringar av PKI-program (Public Key Infrastructure) kan inte tolka användningsprinciper och därför visas avsnitt för både användningsprincip och utökad nyckelanvändning i certifikat utfärdade av en Windows Server-baserad certifikatutfärdare. Mer information finns i avsnittet Användningsprincip.
-
Nyckelanvändning. Med hjälp av ett certifikat kan ett ämne utföra en speciell åtgärd. Det infogas automatiskt begränsningar i ett certifikat för att förhindra att det används till något som det inte var avsett för. Nyckelanvändning är en begränsningsmetod som bestämmer vad ett certifikat kan användas till. Med den här metoden kan administratören utfärda certifikat som bara kan användas till specifika åtgärder eller certifikat för ett bredare spektrum av åtgärder. Mer information finns i Nyckelanvändning.
-
Nyckelarkivering. Om ett ämne förlorar sin privata nyckel går det inte att nå beständigt krypterad information i motsvarande publika nyckel. Det kan du motverka med hjälp av nyckelarkivering, som innebär att du krypterar och arkiverar ett ämnes nycklar i databasen med certifikatutfärdare när certifikat utfärdas. Om ett ämne förlorar sina nycklar kan du hämta informationen i databasen och tillämpa det på ämnet. På så sätt kan du återställa krypterad information och slipper förlora den. Mer information finns i Hantering av begäranden.
-
Grundläggande begränsningar. Grundläggande begränsningar används till att kontrollera att certifikatutfärdarcertifikat endast används i vissa tillämpningar. Ett exempel är sökvägens längd, som kan ställas in som grundläggande begränsning. Sökvägens längd är det antal certifikatutfärdare som får finnas under den aktuella certifikatutfärdaren. Begränsningen av sökvägens längd ser till att certifikatutfärdare i slutet av sökvägen endast kan utfärda slutenhetscertifikat och inte certifikatutfärdarcertifikat. Mer information finns i Grundläggande begränsningar.
-
OCSP-tillägg för inaktiverad återkallningskontroll. Det här tillägget visas endast i den nya certifikatmallen Svarssignering för OCSP och kopior gjorda utifrån den mallen. Det kan inte läggas till i någon annan certifikatmall. Tillägget uppmanar certifikatutfärdaren att inkludera OCSP-tillägget för inaktiverad återkallningskontroll (id-pkix-ocsp-nocheck) i det utfärdade certifikatet och att inte inkludera tillägg för åtkomst till information om utfärdare eller distributionsplats för lista över återkallade certifikat i certifikatet. Det beror på att återställningsstatus inte kontrolleras för certifikat för svarssignering för OCSP. Tillägget gäller endast om certifikatbegäran har svarssignering för OCSP i principen för utökad nyckelanvändning och användningsprincipen.