证书颁发机构 (CA) 使用已定义的一组规则来处理每个证书申请。颁发某些证书时,CA 不需要标识证据,而在颁发其他类型的证书之前需要标识证据。这为不同的证书提供了不同的确定性级别。这些确定性级别在证书中表示为发行策略。

颁发策略(也称为注册策略或证书策略)是颁发证书时实施的一组管理规则。它们在证书中由在 CA 定义的对象标识符(也称为 OID)来表示。此对象标识符包含在已颁发的证书中。使用者提供其证书时,证书可以由目标进行检查,以验证颁发策略,并确定该颁发策略级别是否足以执行所请求的操作。

Windows Server 2008 R2、Windows Server 2008 和 Windows Server 2003 均包含四个预定义的颁发策略:

  • 所有颁发 (2.5.29.32.0)。所有颁发策略指明了该颁发策略中包含所有其他发行策略。通常,仅将此对象标识符分配给 CA 证书。

  • 低确定性 (1.3.6.1.4.1.311.21.8.x.y.z.1.400)。低确定性对象标识符用于表示在没有任何附加安全要求的情况下颁发的证书。

    注意

    对象标识符的 x.y.z 部分是随机生成的数字序列,对于每个 Active Directory 林,该数字序列是唯一的。

  • 中确定性 (1.3.6.1.4.1.311.21.8.x.y.z.1.401)。中确定性对象标识符用于表示具有附加的颁发安全要求的证书。例如,在与智能卡颁发者面对面的会议中颁发的智能卡证书可被视为中确定性证书,并且包含中确定性对象标识符。

  • 高确定性 (1.3.6.1.4.1.311.21.8.x.y.z.1.402)。高确定性对象标识符用于表示以最高安全性颁发的证书。例如,颁发密钥恢复代理证书可能需要附加的后台检查和来自指定批准人的数字签名,因为持有此证书的人可以从企业 CA 恢复私钥材料。

此外,可以创建您自己的对象标识符,以表示自定义的发行策略。

使用者将证书申请提交到 CA 时,申请可自动被批准或置于“挂起”状态。挂起状态通常用于需要更高级别的确定性且因此需要更多管理和进一步验证申请的证书。有大量的设置可用于配置基于模板的颁发证书的身份验证和签名请求。

设置 描述

CA 证书管理器批准

所有证书都被置于挂起容器中,以供证书管理器颁发或拒绝。

授权签名的数量

此设置要求在颁发证书之前由一个或多个使用者对证书申请进行数字签名。这将启用多个其他配置参数。

签名中要求的策略类型

颁发证书所需的签名必须包含特定的应用程序策略、颁发策略,或二者皆有。这就是 CA 确定签名是否适合对使用者证书的颁发进行授权的方式。设置“授权签名的数量”时将启用此选项。

应用程序策略

指定对证书申请进行签名时要验证的应用程序策略。将“签名中要求的策略类型”设置为“应用程序策略”“应用程序和颁发策略”时,将启用此选项。

颁发策略

指定对证书申请进行签名时要验证的颁发策略。将“签名中要求的策略类型”设置为“颁发策略”“应用程序和颁发策略”时,将启用此选项。

修改或创建新的应用程序策略的功能仅在版本 2 和版本 3 证书模板中可用。有关详细信息,请参阅默认证书模板

客户端必须经过重新注册,才能接收到基于已修改模板的证书(如果这些客户端已拥有基于上一个模板的有效证书)。有关重新注册客户端的详细信息,请参阅重新注册所有证书持有者

Domain AdminsEnterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理

修改颁发策略的步骤
  1. 打开“证书模板”管理单元。

  2. 在细节窗格中,右键单击要更改的证书模板,然后单击“属性”

  3. 单击“发布要求”选项卡。

  4. 提供请求的信息。