Extensions prises en charge
Vous pouvez utiliser l’interface IX509Extension pour définir une extension arbitraire. L’API d’inscription de certificats fournit également des interfaces dérivées de IX509Extension pour vous permettre de créer facilement les extensions les plus courantes. La liste suivante identifie les extensions courantes prises en charge par les autorités de certification Microsoft, ainsi que les identificateurs d’objet et les interfaces que vous pouvez utiliser pour les créer.
AlternativeNames
L’extension de noms alternatifs peut être utilisée pour définir un ou plusieurs formulaires de noms alternatifs pour l’objet de la demande de certificat. Parmi les variantes possibles se trouvent les adresses électroniques, les noms DNS, les adresses IP et les URI.
Interface : IX509ExtensionAlternativeNames
OID : XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)
AuthorityInformationAccess
L’extension d’accès aux informations de l’autorité indique comment accéder aux informations et services de l’autorité de certification. La valeur de l’extension contient une séquence d’URI.
Interface : IX509Extension
OID : XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)
AuthorityKeyIdentifier
L’extension d’identificateur de clé d’autorité permet d’identifier la clé publique d'autorité de certification qui correspond à la clé privée d’autorité de certification signataire d’un certificat émis. Elle est utilisée par le chemin d’accès du certificat qui crée des logiciels sur un serveur Windows afin de rechercher le certificat d’autorité de certification. Lorsqu’une autorité de certification émet un certificat, la valeur d’extension est définie sur l’extension SubjectKeyIdentifier dans le certificat de signature de l’autorité de certification. La valeur est généralement un hachage SHA-1 de la clé publique.
Interface : IX509ExtensionAuthorityKeyIdentifier
OID : XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)
BasicConstraints
L’extension de contraintes de base peut être utilisée pour déterminer si l’entité peut être utilisée en tant qu’autorité de certification (CA) et, le cas échéant, le nombre d’autorités de certification subordonnées qui peuvent exister sous celle-ci dans la chaîne de certificats.
Interface : IX509ExtensionBasicConstraints
OID : XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)
CertificatePolicies
L’extension de stratégies de certificat peut être utilisée pour identifier les stratégies sous lesquelles le certificat a été émis et les objectifs pour lesquels il peut être utilisé. Celles-ci sont identifiées par une collection d’identificateurs d’objet (OID). Les stratégies sont personnalisées conformément aux exigences d’une organisation.
Interface : IX509ExtensionCertificatePolicies
OID : XCN_OID_CERT_POLICIES (2.5.29.32)
CrlDistributionPoints
L’extension de points de distribution de la liste de révocation de certificats (CRL) contient l’URI de la liste de révocation de certificats de base (CRL).
Interface : IX509Extension
OID : XCN_OID_CRL_DIST_POINTS (2.5.29.31)
EnhancedKeyUsage
L’extension d’utilisation améliorée de la clé peut être utilisée pour définir une ou plusieurs utilisations de la clé publique contenue dans le certificat.
Interface : IX509ExtensionEnhancedKeyUsage
OID : XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)
FreshestCRL
L’extension CRL la plus récente contient l’URI de la CRL delta. La même syntaxe ASN.1 est utilisée pour cette extension et l’extension CrlDistributionPoints.
Interface : IX509Extension
OID : XCN_OID_FRESHEST_CRL (2.5.29.46)
KeyUsage
L’extension d’utilisation de la clé peut être utilisée pour définir des restrictions sur les opérations qui peuvent être effectuées par la clé publique contenue dans le certificat. Par exemple, vous pouvez indiquer que la clé publique doit être utilisée uniquement pour créer une signature numérique, signer une liste de révocation de certificats (CRL) ou chiffrer une autre clé.
Interface : IX509ExtensionKeyUsage
OID : XCN_OID_KEY_USAGE (2.5.29.15)
MSApplicationPolicies
L’extension des stratégies d’application Microsoft peut être utilisée par une application pour filtrer les certificats en fonction de l’utilisation autorisée. Les utilisations autorisées sont identifiées par les OID. Cette extension est semblable à l’extension EnhancedKeyUsage, mais applique une sémantique plus stricte à l’autorité de certification parente. L’extension est spécifique à Microsoft. Pour les vérificateurs autres que Windows qui ne prennent pas en charge cette extension, l'extension peut être ignorée, même lorsqu’elle est marquée comme critique, si l’extension ExtendedKeyUsage est également présente.
Interface : IX509ExtensionMSApplicationPolicies
OID : XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)
NameConstraints
L’extension de contraintes de nom est utilisée pour identifier l’espace de noms dans lequel tous les noms d’objet des certificats d’une hiérarchie de certificats doivent se trouver. L’extension est utilisée uniquement dans un certificat d’autorité de certification.
Interface : IX509Extension
OID : XCN_OID_NAME_CONSTRAINTS (2.5.29.30)
PolicyConstraints
L’extension des contraintes de stratégie est ajoutée aux certificats d’autorité de certification pour limiter la validation du chemin d’accès en interdisant le mappage de stratégie ou en exigeant que chaque certificat de la hiérarchie contienne un identificateur de stratégie acceptable.
Interface : IX509Extension
OID : XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)
PolicyMappings
L’extension de mappage de stratégie est utilisée pour identifier les stratégies d’une autorité de certification subordonnée qui correspondent aux stratégies de l’autorité de certification émettrice. La valeur d’extension contient une séquence de mappages de stratégies d’autorité de certification émettrice et d’autorité de certification subordonnée représentés par des identificateurs d’objet.
Interface : IX509Extension
OID : XCN_OID_POLICY_MAPPINGS (2.5.29.33)
PrivateKeyUsagePeriod
L’extension de période d’utilisation de la clé privée permet de spécifier une période de validité différente pour la clé privée et pour le certificat auquel la clé est associée.
Interface : IX509Extension
OID : XCN_OID_PRIVATEKEY_USAGE_PERIOD (2.5.29.16)
SmimeCapabilities
Les extensions de fonctionnalités S/MIME (Secure/Multipurpose Internet Mail Extensions) peuvent être utilisées pour signaler les fonctionnalités de déchiffrement d’un destinataire d'email à l’expéditeur du message électronique afin que l’expéditeur puisse choisir l’algorithme de chiffrement le plus sécurisé pris en charge par les deux parties. La valeur d’extension contient une collection d’OID d’algorithme de chiffrement symétriques et une force de chiffrement facultative pour chacun d’eux.
Interface : IX509ExtensionSmimeCapabilities
OID : XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)
SubjectDirectoryAttributes
L’extension d’attributs d’annuaire du sujet peut être utilisée pour transmettre des attributs d’identification tels que la nationalité du sujet du certificat. La valeur de l’extension est une séquence de paires de valeurs d'OID.
Interface : IX509Extension
OID : XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)
SubjectKeyIdentifier
L’extension d’identificateur de clé du sujet peut être utilisée pour différencier plusieurs clés publiques détenues par le sujet du certificat. La valeur de l’extension est généralement un hachage SHA-1 de la clé.
Interface : IX509ExtensionSubjectKeyIdentifier
OID : XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)
Modèle
L’extension de modèle peut être utilisée pour identifier le modèle de version 2 à utiliser lors de l’émission ou du renouvellement d’un certificat. La valeur d’extension contient l’OID du modèle et les informations de version facultatives. L’extension est spécifique à Microsoft.
Interface : IX509ExtensionTemplate
OID : XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)
TemplateName
L’extension de nom de modèle peut être utilisée pour identifier le modèle de version 1 à utiliser lors de l’émission ou du renouvellement d’un certificat. La valeur d’extension contient le nom du modèle. L’extension est spécifique à Microsoft.
Interface : IX509ExtensionTemplateName
OID : XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)
Rubriques connexes