支援的延伸模組
您可以使用 IX509Extension 介面來定義任意擴充功能。 憑證註冊 API 也提供衍生自 IX509Extension 的介面,可讓您輕鬆地建立任何最常見的擴充功能。 下列清單會識別Microsoft證書頒發機構單位支援的常見延伸模組,以及可用來建立它們的物件標識碼和介面。
AlternativeNames
替代名稱延伸模組可用來定義憑證要求主體的一或多個替代名稱表單。 範例替代形式包括電子郵件地址、DNS 名稱、IP 位址和 URI。
介面:IX509ExtensionAlternativeNames
OID: XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)
AuthorityInformationAccess
授權單位資訊存取延伸模組會識別如何存取 CA 資訊和服務。 擴充值包含一連串的 URI。
OID: XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)
AuthorityKeyIdentifier
授權單位金鑰標識碼延伸模組可讓您識別對應至簽署已發行憑證之 CA 私鑰的 CA 公鑰。 憑證路徑會在 Windows 伺服器上建置軟體,以尋找 CA 憑證。 當 CA 發出憑證時,擴充值會設定為 等於 CA 簽署憑證中的 SubjectKeyIdentifier 擴充功能。 此值通常是公鑰的SHA-1 哈希。
介面:IX509ExtensionAuthorityKeyIdentifier
OID: XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)
BasicConstraints
基本條件約束延伸可用來識別實體是否可以作為證書頒發機構單位(CA)使用,如果是的話,憑證鏈結中可以存在的次級 CA 數目。
介面:IX509ExtensionBasicConstraints
OID: XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)
CertificatePolicies
憑證原則延伸模組可用來識別已發行憑證的原則,以及其用途。 這些是由物件標識碼集合所識別(OID)。 系統會針對組織的需求自定義原則。
介面:IX509ExtensionCertificatePolicies
OID: XCN_OID_CERT_POLICIES (2.5.29.32)
CrlDistributionPoints
證書吊銷清單 (CRL) 發佈點延伸模組包含基底證書吊銷清單 (CRL) 的 URI。
OID: XCN_OID_CRL_DIST_POINTS (2.5.29.31)
EnhancedKeyUsage
增強金鑰使用延伸模組可用來定義憑證中包含的一或多個公鑰使用方式。
介面:IX509ExtensionEnhancedKeyUsage
OID: XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)
FreshestCRL
最新的 CRL 延伸模組包含差異 CRL 的 URI。 此延伸模組和 CrlDistributionPoints 延伸模組使用相同的 ASN.1 語法。
OID: XCN_OID_FRESHEST_CRL (2.5.29.46)
KeyUsage
金鑰使用延伸模組可用來定義憑證中包含的公鑰可執行之作業的限制。 例如,您可以指定公鑰只用來建立數位簽名、簽署證書吊銷清單 (CRL), 或加密另一個金鑰。
OID: XCN_OID_KEY_USAGE (2.5.29.15)
MSApplicationPolicies
應用程式可以使用Microsoft應用程式原則擴充功能,根據允許的使用來篩選憑證。 允許的使用是由 OID 所識別。 此擴充功能類似於 EnhancedKeyUsage 擴充功能 ,但會將更嚴格的語意套用至父 CA。 擴充功能Microsoft特定。 對於不支援此延伸模組的非 Windows 型驗證器,即使標示為重大,如果 ExtendedKeyUsage 延伸模組也存在,也可以忽略此延伸模組。
介面:IX509ExtensionMSApplicationPolicies
OID: XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)
NameConstraints
名稱條件約束延伸是用來識別憑證階層中憑證的所有主體名稱必須所在的命名空間。 該副檔名僅在 CA 憑證中使用。
OID: XCN_OID_NAME_CONSTRAINTS (2.5.29.30)
PolicyConstraints
原則條件約束延伸會新增至 CA 憑證,藉由禁止原則對應或要求階層中的每個憑證包含可接受的原則標識碼,來限制路徑驗證。
OID: XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)
PolicyMappings
原則對應延伸模組是用來識別次級 CA 中對應至發行 CA 中原則的原則。 擴充值包含一連串的發出 CA 和次級 CA 原則對應,以對象識別元表示。
OID: XCN_OID_POLICY_MAPPINGS (2.5.29.33)
PrivateKeyUsagePeriod
私鑰使用期間延伸是用來為私鑰指定與與金鑰相關聯之憑證不同的有效期間。
OID: XCN_OID_PRIVATEKEY_USAGE_PERIOD (2.5.29.16)
SmimeCapabilities
Secure/Multipurpose Internet Mail Extensions (S/MIME) 功能延伸模組可用來向電子郵件訊息的寄件者報告電子郵件收件者的解密功能,讓發件者可以選擇雙方支援的最安全加密演算法。 擴充值包含對稱加密演算法 OID 的集合,以及每個的選擇性加密強度。
介面:IX509ExtensionSmimeCapabilities
OID: XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)
SubjectDirectoryAttributes
主體目錄屬性延伸可用來傳達識別屬性,例如憑證主體的國籍。 擴展值是一系列 OID 值對。
OID: XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)
SubjectKeyIdentifier
主體金鑰標識碼延伸可用來區分憑證主體持有的多個公鑰。 擴充值通常是金鑰的 SHA-1 雜湊值。
介面:IX509ExtensionSubjectKeyIdentifier
OID: XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)
範本
範本延伸模組可用來識別發行或更新憑證時要使用的第 2 版範本。 擴充值包含範本 OID 和選擇性版本資訊。 擴充功能Microsoft特定。
OID: XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)
TemplateName
範本名稱延伸模組可用來識別發行或更新憑證時要使用的第 1 版範本。 擴充值包含範本的名稱。 擴充功能Microsoft特定。
OID: XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)
相關主題