Uitbreidingen van certificaatsjablonen

Van toepassing op: Windows Server 2008 R2

Een CA (certificeringsinstantie) verwerkt elke certificaataanvraag aan de hand van een gedefinieerde reeks regels. Certificaatsjablonen kunnen worden aangepast met een aantal uitbreidingen waarmee sjabloongebruik wordt geregeld. Tot deze uitbreidingen kunnen behoren:

  • Uitgiftebeleid. Een uitgiftebeleid (ook wel een inschrijvings- of certificaatbeleid genoemd) bestaat uit een groep beheerregels die worden geïmplementeerd bij de uitgifte van certificaten. De regels worden in een certificaat weergegeven door een object-id (of OID) die door de CA wordt gedefinieerd. Deze object-id is opgenomen in het verleende certificaat. Wanneer een certificaathouder het certificaat presenteert, kan dit door het doel worden onderzocht om het toepassingenbeleid te verifiëren en om vast te stellen of het niveau van het uitgiftebeleid toereikend is om de gevraagde bewerking te kunnen uitvoeren. Zie Uitgiftevereisten voor meer informatie.

  • Toepassingenbeleid. Met behulp van toepassingenbeleid kunt u bepalen welke certificaten voor welk doeleinde kunnen worden gebruikt. Op deze manier kunt u certificaten verlenen zonder u zorgen te maken dat ze worden misbruikt. Toepassingenbeleid wordt soms uitgebreid sleutelgebruik genoemd. Aangezien sommige implementaties van PKI-toepassingen (Public Key Infrastructure of openbare-sleutelinfrastructuur) toepassingenbeleid niet kunnen interpreteren, worden er secties voor toepassingenbeleid en uitgebreid sleutelgebruik weergegeven in certificaten die zijn verleend door een CA die op Windows Server is gebaseerd. Zie Toepassingenbeleid voor meer informatie.

  • Sleutelgebruik. Met behulp van een certificaat kan de certificaathouder een bepaalde taak uitvoeren. Om ervoor te zorgen dat een certificaat alleen wordt gebruikt voor het beoogde doeleinde en niet voor iets anders, worden er automatisch beperkingen op certificaten toegepast. Sleutelgebruik is een beperkingsmethode die bepaalt waarvoor een certificaat kan worden gebruikt. Zo kan de beheerder certificaten verlenen die alleen kunnen worden gebruikt voor specifieke taken, of die een heel scala aan functies toestaan. Zie Sleutelgebruik voor meer informatie.

  • Sleutelarchivering. Wanneer certificaathouders hun persoonlijke sleutel kwijtraken, zijn gegevens die permanent met de bijbehorende openbare sleutel zijn versleuteld, niet langer toegankelijk. Om dit te voorkomen kunt u met sleutelarchivering de sleutels van een certificaathouder in de CA-database versleutelen en archiveren wanneer er certificaten worden uitgegeven. Als een certificaathouder zijn of haar sleutels verliest, kunnen de gegevens uit de database worden opgehaald en aan de certificaathouder worden verstrekt. Zo kunnen de versleutelde gegevens worden hersteld en zijn ze niet verloren. Zie Afhandeling van aanvragen voor meer informatie.

  • Basisbeperkingen Basisbeperkingen worden gebruikt om ervoor te zorgen dat CA-certificaten alleen in bepaalde toepassingen worden gebruikt. Een voorbeeld hiervan is de padlengte, die kan worden opgegeven als een basisbeperking. De padlengte bepaalt hoeveel CA's er zijn toegestaan onder de huidige CA. Deze beperking op de padlengte zorgt ervoor dat CA's aan het eind van dit pad alleen eindentiteitcertificaten kunnen verlenen, niet CA-certificaten. Zie Basisbeperkingen voor meer informatie.

  • OCSP - geen controle op intrekking. Deze uitbreiding wordt alleen weergegeven in de nieuwe certificaatsjabloon OCSP-antwoord ondertekenen en duplicaten die op deze sjabloon zijn gebaseerd. De uitbreiding kan niet aan andere certificaatsjablonen worden toegevoegd. Deze uitbreiding geeft de CA opdracht de uitbreiding OCSP - geen controle op intrekking (id-pkix-ocsp-nocheck) op te nemen in het uitgegeven certificaat, en de distributiepuntextensies voor toegang tot CA-gegevens en certificaatintrekkingslijsten niet in het certificaat op te nemen. Certificaten voor OCSP-antwoord ondertekenen worden namelijk niet gecontroleerd op intrekkingsstatus. Deze uitbreiding is alleen van toepassing als de certificaataanvraag OCSP-antwoord ondertekenen bevat in het uitgebreide sleutelgebruik en het toepassingenbeleid.

Community-inhoud

Toevoegen
Weergeven: