Центр сертификации (ЦС) обрабатывает каждый запрос сертификата с помощью определенного набора правил. Шаблоны сертификатов можно настроить с помощью ряда расширений, регулирующих их использование. Эти расширения могут включать:
- Политики выдачи. Политика выдачи
(также называемая политикой регистрации или политикой сертификата)
является группой административных правил, применяемых при выдаче
сертификатов. Они представлены в сертификате идентификатором
объекта (также называемым OID), определенным в ЦС. Идентификатор
объекта включается в выдаваемый сертификат. Предъявляемый субъектом
сертификат может быть рассмотрен адресатом, чтобы проверить
политику выдачи и определить, достаточен ли этот уровень политики
выдачи для выполнения запрошенного действия. Дополнительные
сведения см. в разделе Требования
выдачи.
- Политики применений. Политики
применения предоставляют ценную возможность решать, какие
сертификаты можно использовать для определенных целей. Это
позволяет выдавать сертификаты, не беспокоясь о том, что ими
злоупотребят для непредусмотренной цели. Политики применения иногда
называют использованием расширенного ключа или улучшенным ключом.
Поскольку некоторые реализации применений инфраструктуры открытого
ключа (PKI) не могут интерпретировать политики применения, в
сертификатах, выданных ЦС, основанными на Windows Server,
представлены разделы и политик применения, и улучшенного ключа.
Дополнительные сведения см. в разделе Политика
применения.
- Использование ключа. Сертификат
позволяет субъекту выполнить определенную задачу. Чтобы
предотвратить использование сертификата в целях, для которых он не
предназначен, на сертификаты автоматически накладываются
ограничения. Использование ключа - это метод ограничения,
определяющий, для чего может быть использован сертификат. Это
позволяет администратору выдавать сертификаты, которые можно
использовать только для конкретных задач, или выдавать сертификаты,
которые можно использовать для широкого диапазона функций.
Дополнительные сведения см. в разделе Использование
ключа.
- Архивация ключа. Если субъекты
потеряют свои закрытые ключи, любая информация, постоянно
зашифрованная соответствующим открытым ключом, будет недоступной.
Чтобы не допустить это, архивация ключа позволяет зашифровать и
архивировать ключи субъекта в базе данных ЦС при выдаче
сертификатов. Если субъект потеряет свои ключи, эти сведения можно
извлечь из базы данных и предоставить субъекту. Это позволяет
восстановить зашифрованную информацию. Дополнительные сведения см.
в разделе Обработка
запроса.
- Основные ограничения. Основные
ограничения предназначены для того, чтобы обеспечить только
определенные применения сертификатов ЦС. Примером является длина
пути, которая может быть указана в качестве основного ограничения.
Длина пути определяет количество ЦС, которые могут следовать за
текущим ЦС. Ограничение длины пути гарантирует, что ЦС в конце
этого пути смогут выдавать только сертификаты конечного объекта, но
не сертификаты ЦС. Дополнительные сведения см. в разделе Основные
ограничения.
- Проверка безотзывности OCSP. Это
расширение представлено только в новом шаблоне сертификата
подписывания отклика OCSP и в дубликатах, произведенных от этого
шаблона. Его нельзя добавить к другим шаблонам сертификатов. Это
расширение дает указание ЦС включить расширение проверки
безотзывности OCSP (id-pkix-ocsp-nocheck) в выдаваемый сертификат и
не включать в сертификат доступ к информации о центрах сертификации
и расширения точки распределения списка отзывов сертификатов (CRL).
Причина в том, что сертификаты подписывания отклика OCSP не
проверяются на статус отзыва. Это расширение применяется только,
если запрос сертификата содержит подписывание отклика OCSP в
улучшенном ключе и в политиках применения.