サポートされる拡張子
IX509Extension インターフェイスを使用して、任意の拡張機能を定義できます。 証明書登録 API には 、IX509Extension から派生したインターフェイスも用意されており、最も一般的な拡張機能を簡単に作成できます。 次の一覧では、Microsoft 証明機関でサポートされている一般的な拡張機能と、それらを作成するために使用できるオブジェクト識別子とインターフェイスを示します。
AlternativeNames
別名拡張子を使用して、証明書要求のサブジェクトに対して 1 つ以上の別名フォームを定義できます。 別名形式の例として、メール アドレス、DNS 名、IP アドレス、URI などがあります。
Interface:IX509ExtensionAlternativeNames
Oid: XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)
AuthorityInformationAccess
機関情報アクセス拡張機能は、CA 情報およびサービスにアクセスする方法を識別します。 拡張値には、URI のシーケンスが含まれています。
Interface:IX509Extension
Oid: XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)
AuthorityKeyIdentifier
機関キー識別子拡張機能を使用すると、発行された証明書に署名した CA 秘密キーに対応する CA 公開キーを識別できます。 これは、CA 証明書を検索するために、Windows サーバー上のソフトウェアを構築する証明書パスによって使用されます。 CA が証明書を発行すると、拡張値は CA 署名証明書の SubjectKeyIdentifier 拡張機能と等しく設定されます。 値は通常、公開キーの SHA-1 ハッシュです。
Interface:IX509ExtensionAuthorityKeyIdentifier
Oid: XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)
BasicConstraints
基本的な制約拡張を使用して、エンティティを証明機関 (CA) として使用できるかどうかを識別し、使用できる場合は、証明書チェーンの下に存在できる下位 CA の数を識別できます。
Interface:IX509ExtensionBasicConstraints
Oid: XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)
CertificatePolicies
証明書ポリシー拡張機能を使用して、証明書が発行されたポリシーとその目的を識別できます。 これらは、オブジェクト識別子 (OID) のコレクションによって識別されます。 ポリシーは、organizationの要件に合わせてカスタマイズされます。
Interface:IX509ExtensionCertificatePolicies
Oid: XCN_OID_CERT_POLICIES (2.5.29.32)
CrlDistributionPoints
証明書失効リスト (CRL) 配布ポイント拡張機能には、基本証明書失効リスト (CRL) の URI が含まれています。
Interface:IX509Extension
Oid: XCN_OID_CRL_DIST_POINTS (2.5.29.31)
EnhancedKeyUsage
拡張キー使用法拡張機能を使用して、証明書に含まれる公開キーの 1 つ以上の用途を定義できます。
Interface:IX509ExtensionEnhancedKeyUsage
Oid: XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)
FreshestCRL
最新の CRL 拡張機能には、デルタ CRL の URI が含まれています。 この拡張機能と CrlDistributionPoints 拡張機能には、同じ ASN.1 構文が使用されます。
Interface:IX509Extension
Oid: XCN_OID_FRESHEST_CRL (2.5.29.46)
KeyUsage
キー使用法拡張機能を使用して、証明書に含まれる公開キーによって実行できる操作の制限を定義できます。 たとえば、公開キーは、デジタル署名の作成、証明書失効リスト (CRL) の署名、または別のキーの暗号化にのみ使用するように指定できます。
Interface:IX509ExtensionKeyUsage
Oid: XCN_OID_KEY_USAGE (2.5.29.15)
MSApplicationPolicies
Microsoft アプリケーション ポリシー拡張機能は、許可された使用に基づいて証明書をフィルター処理するためにアプリケーションで使用できます。 許可される使用は OID によって識別されます。 この拡張機能は EnhancedKeyUsage 拡張機能に似ていますが、親 CA にはより厳密なセマンティクスが適用されます。 拡張機能は Microsoft 固有です。 この拡張機能をサポートしていない Windows ベース以外の検証ツールの場合、ExtendedKeyUsage 拡張機能も存在する場合、クリティカルとマークされている場合でも、この拡張機能は無視できます。
Interface:IX509ExtensionMSApplicationPolicies
Oid: XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)
NameConstraints
名前制約拡張機能は、証明書階層内のすべての証明書のサブジェクト名を配置する必要がある名前空間を識別するために使用されます。 この拡張機能は CA 証明書でのみ使われます。
Interface:IX509Extension
Oid: XCN_OID_NAME_CONSTRAINTS (2.5.29.30)
PolicyConstraints
ポリシー制約拡張機能は、CA 証明書に追加され、ポリシー マッピングを禁止するか、階層内の各証明書に許容可能なポリシー識別子が含まれていることを要求することによって、パスの検証を制限します。
Interface:IX509Extension
Oid: XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)
PolicyMappings
ポリシー マッピング拡張機能は、発行元 CA のポリシーに対応する下位 CA のポリシーを識別するために使用されます。 拡張値には、オブジェクト識別子によって表される CA および下位 CA ポリシー マッピングを発行するシーケンスが含まれます。
Interface:IX509Extension
Oid: XCN_OID_POLICY_MAPPINGS (2.5.29.33)
PrivateKeyUsagePeriod
秘密キーの使用期間の拡張機能は、秘密キーが関連付けられている証明書とは異なる有効期間を指定するために使用されます。
Interface:IX509Extension
Oid: XCN_OID_PRIVATEKEY_USAGE_PERIOD (2.5.29.16)
SmimeCapabilities
Secure/多目的インターネット メール拡張機能 (S/MIME) 機能拡張機能を使用すると、メール受信者の暗号化解除機能をメール メッセージの送信者に報告して、送信者が両方の当事者でサポートされている最も安全な暗号化アルゴリズムを選択できます。 拡張値には、対称暗号化アルゴリズム OID のコレクションと、それぞれに対するオプションの暗号化強度が含まれます。
Interface:IX509ExtensionSmimeCapabilities
Oid: XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)
SubjectDirectoryAttributes
サブジェクト ディレクトリ属性拡張機能を使用して、証明書のサブジェクトの国籍などの識別属性を伝えることができます。 この拡張機能の値は、OID と値のペアが連続する形になります。
Interface:IX509Extension
Oid: XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)
SubjectKeyIdentifier
サブジェクト キー識別子拡張機能を使用して、証明書のサブジェクトによって保持されている複数の公開キーを区別できます。 この拡張機能の値は、通常は、キーの SHA-1 ハッシュです。
Interface:IX509ExtensionSubjectKeyIdentifier
Oid: XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)
Template
テンプレート拡張機能を使用して、証明書の発行または更新時に使用するバージョン 2 テンプレートを識別できます。 拡張値には、テンプレート OID とオプションのバージョン情報が含まれます。 拡張機能は Microsoft 固有です。
Interface:IX509ExtensionTemplate
Oid: XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)
TemplateName
テンプレート名拡張子を使用して、証明書の発行または更新時に使用するバージョン 1 テンプレートを識別できます。 拡張値には、テンプレートの名前が含まれています。 拡張機能は Microsoft 固有です。
Interface:IX509ExtensionTemplateName
Oid: XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)
関連トピック
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示