Unterstützte Erweiterungen
Sie können die IX509Extension-Schnittstelle verwenden, um eine beliebige Erweiterung zu definieren. Die Zertifikatregistrierungs-API bietet auch Schnittstellen, die von IX509Extension abgeleitet wurden, damit Sie problemlos eine der gängigsten Erweiterungen erstellen können. In der folgenden Liste werden die gängigen Erweiterungen aufgeführt, die von Microsoft-Zertifizierungsstellen unterstützt werden, sowie die Objektbezeichner und Schnittstellen, mit denen Sie sie erstellen können.
AlternativeNames
Die Erweiterung alternative Namen kann verwendet werden, um ein oder mehrere alternative Namensformulare für den Antragsteller der Zertifikatanforderung zu definieren. Beispiele für alternative Namen sind E-Mail-Adressen, DNS-Namen, IP-Adressen und URIs.
Interface:IX509ExtensionAlternativeNames
OID: XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)
AuthorityInformationAccess
Die Berechtigungsinformationszugriffserweiterung gibt an, wie auf Informationen und Dienste von Zertifizierungsstellen zugegriffen werden kann. Der Erweiterungswert enthält eine Sequenz von URIs.
Schnittstelle:IX509Extension
OID: XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)
AuthorityKeyIdentifier
Die Autoritätsschlüsselbezeichnererweiterung ermöglicht die Identifizierung des öffentlichen Schlüssels der Zertifizierungsstelle, der dem privaten Schlüssel der Zertifizierungsstelle entspricht, die ein ausgestelltes Zertifikat signiert hat. Es wird von der Zertifikatpfaderstellungssoftware auf einem Windows-Server verwendet, um das Zertifizierungsstellenzertifikat zu finden. Wenn eine Zertifizierungsstelle ein Zertifikat ausgibt, wird der Erweiterungswert gleich der SubjectKeyIdentifier-Erweiterung im Zertifizierungsstellensignaturzertifikat festgelegt. Der Wert ist in der Regel ein SHA-1-Hash des öffentlichen Schlüssels.
Schnittstelle:IX509ExtensionAuthorityKeyIdentifier
OID: XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)
BasicConstraints
Die Erweiterung für grundlegende Einschränkungen kann verwendet werden, um zu ermitteln, ob die Entität als Zertifizierungsstelle (CA) verwendet werden kann, und, wenn ja, die Anzahl der untergeordneten Zertifizierungsstellen, die in der Zertifikatkette darunter vorhanden sein können.
Schnittstelle:IX509ExtensionBasicConstraints
OID: XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)
CertificatePolicies
Die Zertifikatrichtlinienerweiterung kann verwendet werden, um die Richtlinien zu identifizieren, unter denen das Zertifikat ausgestellt wurde, und die Zwecke dafür verwendet werden können. Diese werden durch eine Auflistung von Objektbezeichnern (Object Identifiers, OIDs) identifiziert. Richtlinien werden an die Anforderungen eines organization angepasst.
Schnittstelle:IX509ExtensionCertificatePolicies
OID: XCN_OID_CERT_POLICIES (2.5.29.32)
CrlDistributionPoints
Die Verteilungspunkteerweiterung zertifikatsperrliste (Certificate Revocation List, CRL) enthält den URI der Basiszertifikatsperrliste (CRL).
Schnittstelle:IX509Extension
OID: XCN_OID_CRL_DIST_POINTS (2.5.29.31)
EnhancedKeyUsage
Die Erweiterte Schlüsselverwendungserweiterung kann verwendet werden, um eine oder mehrere Verwendungen des im Zertifikat enthaltenen öffentlichen Schlüssels zu definieren.
Schnittstelle:IX509ExtensionEnhancedKeyUsage
OID: XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)
FreshestCRL
Die neueste CRL-Erweiterung enthält den URI der Delta-Zertifikatsperrliste. Die gleiche ASN.1-Syntax wird für diese Erweiterung und die Erweiterung CrlDistributionPoints verwendet.
Schnittstelle:IX509Extension
OID: XCN_OID_FRESHEST_CRL (2.5.29.46)
KeyUsage
Die Schlüsselverwendungserweiterung kann verwendet werden, um Einschränkungen für die Vorgänge zu definieren, die von dem im Zertifikat enthaltenen öffentlichen Schlüssel ausgeführt werden können. Sie können beispielsweise angeben, dass der öffentliche Schlüssel nur zum Erstellen einer digitalen Signatur, zum Signieren einer Zertifikatsperrliste (Certificate Revocation List, CRL) oder zum Verschlüsseln eines anderen Schlüssels verwendet werden soll.
Schnittstelle:IX509ExtensionKeyUsage
OID: XCN_OID_KEY_USAGE (2.5.29.15)
MSApplicationPolicies
Die Microsoft-Anwendungsrichtlinienerweiterung kann von einer Anwendung verwendet werden, um Zertifikate auf der Grundlage der zulässigen Verwendung zu filtern. Zulässige Verwendungen werden durch OIDs identifiziert. Diese Erweiterung ähnelt der Erweiterung EnhancedKeyUsage , verfügt jedoch über eine strengere Semantik, die auf die übergeordnete Zertifizierungsstelle angewendet wird. Die Erweiterung ist Microsoft-spezifisch. Für nicht Windows-basierte Überprüfungen, die diese Erweiterung nicht unterstützen, kann diese Erweiterung ignoriert werden – auch wenn sie als kritisch gekennzeichnet ist –, wenn die Erweiterung ExtendedKeyUsage ebenfalls vorhanden ist.
Schnittstelle:IX509ExtensionMSApplicationPolicies
OID: XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)
NameConstraints
Die Namenseinschränkungserweiterung wird verwendet, um den Namespace zu identifizieren, in dem sich alle Antragstellernamen von Zertifikaten in einer Zertifikathierarchie befinden müssen. Die Erweiterung wird lediglich in einem Zertifizierungsstellenzertifikat verwendet.
Schnittstelle:IX509Extension
OID: XCN_OID_NAME_CONSTRAINTS (2.5.29.30)
PolicyConstraints
Die Richtlinieneinschränkungserweiterung wird Zertifizierungsstellenzertifikaten hinzugefügt, um die Pfadüberprüfung einzuschränken, indem die Richtlinienzuordnung verhindert wird oder dass jedes Zertifikat in der Hierarchie einen akzeptablen Richtlinienbezeichner enthält.
Schnittstelle:IX509Extension
OID: XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)
PolicyMappings
Die Richtlinienzuordnungserweiterung wird verwendet, um die Richtlinien in einer untergeordneten Zertifizierungsstelle zu identifizieren, die Richtlinien in der ausstellenden Zertifizierungsstelle entsprechen. Der Erweiterungswert enthält eine Sequenz von ausstellenden Zertifizierungsstellen und untergeordneten Zertifizierungsstellenrichtlinienzuordnungen, die durch Objektbezeichner dargestellt werden.
Schnittstelle:IX509Extension
OID: XCN_OID_POLICY_MAPPINGS (2.5.29.33)
PrivateKeyUsagePeriod
Die Nutzungszeitraumserweiterung für private Schlüssel wird verwendet, um einen anderen Gültigkeitszeitraum für den privaten Schlüssel anzugeben als für das Zertifikat, dem der Schlüssel zugeordnet ist.
Schnittstelle:IX509Extension
OID: XCN_OID_PRIVATEKEY_USAGE_PERIOD (2.5.29.16)
SmimeCapabilities
Die S/MIME-Funktionserweiterung (Secure/Multipurpose Internet Mail Extensions) kann verwendet werden, um die Entschlüsselungsfunktionen eines E-Mail-Empfängers an den Absender der E-Mail-Nachricht zu melden, sodass der Absender den sichersten Verschlüsselungsalgorithmus auswählen kann, der von beiden Seiten unterstützt wird. Der Erweiterungswert enthält eine Auflistung symmetrischer Verschlüsselungsalgorithmus-OIDs und eine optionale Verschlüsselungsstärke für jede.
Schnittstelle:IX509ExtensionSmimeCapabilities
OID: XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)
SubjectDirectoryAttributes
Die Erweiterung "Antragstellerverzeichnisattribute" kann verwendet werden, um Identifikationsattribute wie die Staatsangehörigkeit des Zertifikatsubjekts zu übermitteln. Der Erweiterungswert ist eine Folge von OID-Wertepaaren.
Schnittstelle:IX509Extension
OID: XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)
SubjectKeyIdentifier
Die Antragstellerschlüsselbezeichnererweiterung kann verwendet werden, um zwischen mehreren öffentlichen Schlüsseln zu unterscheiden, die vom Zertifikatsubjekt gehalten werden. Der Erweiterungswert ist normalerweise ein SHA-1-Hash des Schlüssels.
Interface:IX509ExtensionSubjectKeyIdentifier
OID: XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)
Vorlage
Die Vorlagenerweiterung kann verwendet werden, um die Vorlage der Version 2 zu identifizieren, die beim Ausstellen oder Verlängern eines Zertifikats verwendet werden soll. Der Erweiterungswert enthält die Vorlagen-OID und optionale Versionsinformationen. Die Erweiterung ist Microsoft-spezifisch.
Interface:IX509ExtensionTemplate
OID: XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)
TemplateName
Die Vorlagennamenerweiterung kann verwendet werden, um die Vorlage der Version 1 zu identifizieren, die beim Ausstellen oder Erneuern eines Zertifikats verwendet werden soll. Der Erweiterungswert enthält den Namen der Vorlage. Die Erweiterung ist Microsoft-spezifisch.
Interface:IX509ExtensionTemplateName
OID: XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)
Zugehörige Themen
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für