憑證授權單位 (CA) 會使用已定義的規則集處理每個憑證要求。憑證範本可以用規範其使用方式的數個延伸來自訂。這些延伸可以包含:
-
發行原則。發行原則 (也稱為註冊或憑證原則) 是在簽發憑證時實作的管理規則群組。在憑證中,這些原則是由定義於 CA 的物件識別碼 (也稱為 OID) 代表。此物件識別碼已包含在發行的憑證中。當主體提出其憑證時,可以由目標檢查憑證,以驗證發行原則並判定發行原則等級是否足以執行要求的動作。如需相關資訊,請參閱發行需求。
-
應用程式原則應用程式原則賦予您重要的能力,以決定哪些憑證可以用於特定目的。這可讓您廣泛地發佈憑證,而不需擔心它們會誤用於非預定的目的。應用程式原則有時稱為延伸的金鑰使用方法或增強的金鑰使用方法。因為某些公開金鑰基礎結構 (PKI) 應用程式的實作無法解譯應用程式原則,所以應用程式原則和增強的金鑰使用方法區段會顯示在 Windows Server 型 CA 所發行的憑證中。如需相關資訊,請參閱應用程式原則。
-
金鑰使用方法。憑證會啟用主體以執行特定的工作。為了協助在其預期目的之外控制憑證的使用方式,會自動在憑證中加入限制。金鑰使用方法是一種限制方法,可決定如何使用憑證。這可讓系統管理員發行只能用於特定工作的憑證,或發行可用於廣泛功能的憑證。如需相關資訊,請參閱金鑰使用方法。
-
金鑰保存。當主體遺失其私密金鑰時,就無法存取任何持續以對應公開金鑰加密的資訊。若要防止發生此情形,金鑰保存可讓您在發佈憑證時在 CA 資料庫中加密並封存主體的金鑰。如果主體遺失金鑰,就可以從資料庫擷取資訊並提供給主體。這樣即可復原加密的資訊而不會遺失。如需相關資訊,請參閱處理要求。
-
基本限制。基本限制是用來確定 CA 憑證只用於特定應用程式中。而可以指定為基本限制的路徑長度就是其中一個範例。路徑長度定義目前 CA 底下所允許的 CA 數。此路徑長度限制可確保此路徑末端的 CA 只能發行終端實體憑證而不是 CA 憑證。如需相關資訊,請參閱基本限制。
-
OCSP 無撤銷檢查。此延伸只會顯示在新的「OCSP 回應簽署」憑證範本中,並且從此範本衍生複本。它無法新增至其他任何憑證範本。此延伸會指示 CA 在發行的憑證中包含 OCSP 無撤銷檢查 (id-pkix-ocsp-nocheck) 延伸,並且不包含授權資訊存取和憑證撤銷清單 (CRL) 發佈點延伸。這是因為「OCSP 回應簽署」憑證不會檢查撤銷狀態。只會在憑證要求包含增強的金鑰使用方法和應用程式原則中的「OCSP 回應簽署」時,才適用此延伸。