[延伸] 索引標籤可讓系統管理員為憑證範本,定義特定的應用程式原則、發行原則、憑證主體類型以及金鑰使用方法屬性。
應用程式原則
應用程式原則就是通知目標有關主體掌握可用來執行特定工作之憑證的設定值。它們在憑證中,會由針對特定應用程式所定義的物件識別碼所代表。此物件識別碼已包含在發行的憑證中。當主體提出其憑證時,可由目標檢查憑證,以驗證應用程式原則,並決定該主體是否可執行所要求的動作。
發行原則
發行原則 (也稱為憑證原則) 定義了用來識別憑證主體的方法,因此也會定義已發出憑證的保證層次。例如,您的組織可能在發出提供更高層次保證的憑證前,需要進行一次面對面的會面。
憑證主體類型
憑證主體類型 (也稱為憑證範本資訊) 定義了憑證或憑證範本的目的。
憑證主體類型延伸並無法編輯。如果系統管理員要求在憑證上套用特定的主體類型,則系統管理員應複製包含所需主體類型的憑證範本。
金鑰使用方法
憑證會啟用主體以執行特定的工作。為了協助在其預期目的之外控制憑證的使用方式,會自動在憑證中加入限制。金鑰使用方法是一種限制方法,可決定如何使用憑證。如此可讓系統管理者簽發憑證,而這些是只能用於特定工作或大範圍功能的憑證。如果未指定金鑰使用方法,則憑證可用於任何目的。
針對簽章,金鑰使用方法可以限制在以下一或多個目的:
-
數位簽章
-
簽章是原件證明 (不可否認性)
-
憑證簽章
-
CRL 簽署
針對加密金鑰使用方法,可用選項如下:
-
允許未加密的金鑰進行金鑰交換
-
只允許已加密的金鑰進行金鑰交換
屬性
除了憑證授權單位 (CA) 建立要求憑證所需的資訊外,憑證要求也包含描述如何建立憑證要求的屬性。憑證要求屬性包含用來建立要求的作業系統版本及應用程式、用來產生金鑰組的加密編譯服務提供者、要求所根據的憑證範本以及其他詳細資料。
屬性會自動新增到使用憑證嵌入式管理單元所建立的憑證要求,並與每個憑證要求儲存在 CA 資料庫。
其他參考資料