支援的擴充功能
您可以使用 IX509Extension 介面來定義任意延伸模組。 憑證註冊 API 也提供衍生自 IX509Extension 的介面,可讓您輕鬆地建立任何最常見的擴充功能。 下列清單會識別 Microsoft 憑證授權單位單位支援的通用延伸模組,以及可用來建立它們的物件識別碼和介面。
AlternativeNames
替代名稱延伸模組可用來定義憑證要求主體的一或多個替代名稱表單。 別名形式範例包含電子郵件地址、DNS 名稱、IP 位址及 URI。
Interface:IX509ExtensionAlternativeNames
老: XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)
AuthorityInformationAccess
授權單位資訊存取延伸模組會識別如何存取 CA 資訊和服務。 擴充值包含 URI 序列。
Interface:IX509Extension
老: XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)
AuthorityKeyIdentifier
授權單位金鑰識別碼延伸會啟用 CA 公開金鑰的識別,此金鑰組應至簽署所發行憑證的 CA 私密金鑰。 憑證路徑會在 Windows 伺服器上建置軟體來尋找 CA 憑證。 當 CA 發出憑證時,延伸模組值會設定為等於 CA 簽署憑證中的 SubjectKeyIdentifier 擴充功能。 此值通常是公開金鑰的 SHA-1 雜湊。
Interface:IX509ExtensionAuthorityKeyIdentifier
老: XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)
BasicConstraints
基本條件約束延伸可用來識別實體是否可以作為憑證授權單位單位 (CA) ,如果是的話,該實體的次級 CA 數目可以存在於憑證鏈結中。
Interface:IX509ExtensionBasicConstraints
老: XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)
CertificatePolicies
憑證原則延伸模組可用來識別已發行憑證的原則,以及其用途。 這些識別碼是由物件識別碼集合所識別, (OID) 。 系統會針對組織的需求自訂原則。
Interface:IX509ExtensionCertificatePolicies
老: XCN_OID_CERT_POLICIES (2.5.29.32)
CrlDistributionPoints
憑證撤銷清單 (CRL) 發佈點延伸模組包含 CRL (CRL) 基底憑證撤銷清單的 URI。
Interface:IX509Extension
老: XCN_OID_CRL_DIST_POINTS (2.5.29.31)
EnhancedKeyUsage
增強金鑰使用延伸模組可用來定義憑證中包含的一或多個公開金鑰用法。
Interface:IX509ExtensionEnhancedKeyUsage
老: XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)
FreshestCRL
最新的 CRL 延伸模組包含差異 CRL 的 URI。 此延伸模組和 CrlDistributionPoints 延伸模組使用相同的 ASN.1 語法。
Interface:IX509Extension
老: XCN_OID_FRESHEST_CRL (2.5.29.46)
KeyUsage
金鑰使用延伸模組可用來定義憑證中所含公開金鑰可執行之作業的限制。 例如,您可以指定公開金鑰只用來建立數位簽章、簽署憑證撤銷清單 (CRL) ,或加密另一個金鑰。
Interface:IX509ExtensionKeyUsage
老: XCN_OID_KEY_USAGE (2.5.29.15)
MSApplicationPolicies
應用程式可以使用 Microsoft 應用程式原則延伸模組,根據允許的使用來篩選憑證。 允許的使用是由 OID 所識別。 此延伸模組類似于 EnhancedKeyUsage 延伸模組,但套用至父 CA 的語意更嚴格。 延伸模組是 Microsoft 特定的。 對於不支援此延伸模組的非 Windows 型驗證程式,即使標示為重大,如果 ExtendedKeyUsage 擴充功能也存在,也可以忽略此延伸模組。
Interface:IX509ExtensionMSApplicationPolicies
老: XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)
NameConstraints
名稱條件約束延伸是用來識別命名空間,其中必須位於憑證階層中的所有憑證主體名稱。 這個延伸只能用於一個 CA 憑證中。
Interface:IX509Extension
老: XCN_OID_NAME_CONSTRAINTS (2.5.29.30)
PolicyConstraints
原則條件約束延伸模組會新增至 CA 憑證,藉由禁止原則對應或要求階層中的每個憑證包含可接受的原則識別碼來限制路徑驗證。
Interface:IX509Extension
老: XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)
PolicyMappings
原則對應延伸模組是用來識別次級 CA 中對應至發行 CA 中原則的原則。 延伸模組值包含一連串的發行 CA 和次級 CA 原則對應,由物件識別碼表示。
Interface:IX509Extension
老: XCN_OID_POLICY_MAPPINGS (2.5.29.33)
PrivateKeyUsagePeriod
私密金鑰使用期間延伸模組用來指定私密金鑰的有效期間,與與金鑰相關聯的憑證不同。
Interface:IX509Extension
老: XCN_OID_PRI加值稅EKEY_USAGE_PERIOD (2.5.29.16)
SmimeCapabilities
Secure/Multipurpose Internet Mail Extensions (S/MIME) 功能延伸模組可用來向電子郵件訊息的寄件者報告電子郵件收件者的解密功能,讓寄件者可以選擇兩方支援的最安全加密演算法。 擴充值包含對稱加密演算法 OID 的集合,以及每個專案的選擇性加密強度。
Interface:IX509ExtensionSmimeCapabilities
老: XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)
SubjectDirectoryAttributes
主體目錄屬性延伸模組可用來傳達識別屬性,例如憑證主體的國家/地區。 延伸值是 OID 值配對的序列。
Interface:IX509Extension
老: XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)
SubjectKeyIdentifier
主體金鑰識別碼延伸模組可用來區分憑證主體所持有的多個公開金鑰。 延伸值通常是金鑰的 SHA-1 雜湊。
Interface:IX509ExtensionSubjectKeyIdentifier
老: XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)
[範本]
範本延伸模組可用來識別發行或更新憑證時要使用的第 2 版範本。 延伸模組值包含範本 OID 和選擇性版本資訊。 延伸模組是 Microsoft 特定的。
Interface:IX509ExtensionTemplate
老: XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)
TemplateName
範本名稱延伸模組可用來識別發行或更新憑證時要使用的第 1 版範本。 延伸模組值包含範本的名稱。 延伸模組是 Microsoft 特定的。
Interface:IX509ExtensionTemplateName
老: XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)
相關主題
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應