Freigeben über

Unterstützte Erweiterungen

  • Artikel

Sie können die IX509Extension-Schnittstelle verwenden, um eine beliebige Erweiterung zu definieren. Die Zertifikatregistrierungs-API stellt auch Schnittstellen bereit, die von IX509Extension abgeleitet werden, damit Sie auf einfache Weise beliebige der am gängigsten Erweiterungen erstellen können. In der folgenden Liste sind die allgemeinen Erweiterungen aufgeführt, die von Microsoft-Zertifizierungsstellen unterstützt werden, sowie die Objektbezeichner und -schnittstellen, die Sie zum Erstellen verwenden können.

AlternativeNames

Die alternative Namenserweiterung kann verwendet werden, um ein oder mehrere alternative Namensformulare für den Betreff der Zertifikatanforderung zu definieren. Beispiele für alternative Namen sind E-Mail-Adressen, DNS-Namen, IP-Adressen und URIs.

Schnittstelle: IX509ExtensionAlternativeNames

OID: XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)

AuthorityInformationAccess

Die Erweiterung Authority Information Access identifiziert, wie auf Zertifizierungsstelleninformationen und -dienste zugegriffen werden kann. Der Erweiterungswert enthält eine Abfolge von URIs.

Schnittstelle: IX509Extension

OID: XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)

AuthorityKeyIdentifier

Die Erweiterung Zertifizierungsstellenschlüssel-ID ermöglicht die Identifizierung des öffentlichen Zertifizierungsstellenschlüssels, der dem privaten Schlüssel der Zertifizierungsstelle entspricht, mit welchem ein ausgestelltes Zertifikat signiert wurde. Sie wird von Erstellungssoftware für Zertifikatspfade auf Windows Servern verwendet, um das Zertifizierungsstellen-Zertifikat zu finden. Wenn eine Zertifizierungsstelle ein Zertifikat ausgibt, wird der Erweiterungswert gleich der SubjectKeyIdentifier-Erweiterung im Zertifizierungsstellensignaturzertifikat festgelegt. Der Wert ist normalerweise ein SHA-1-Hash des öffentlichen Schlüssels.

Schnittstelle: IX509ExtensionAuthorityKeyIdentifier

OID: XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)

BasicConstraints

Die Erweiterung Grundlegende Einschränkungen kann verwendet werden, um zu ermitteln, ob die Entität als Zertifizierungsstelle (CA) verwendet werden kann, und wenn ja, die Anzahl der untergeordneten Zertifizierungsstellen, die darunter in der Zertifikatkette vorhanden sein können.

Schnittstelle: IX509ExtensionBasicConstraints

OID: XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)

CertificatePolicies

Die Zertifikatrichtlinienerweiterung kann verwendet werden, um die Richtlinien zu identifizieren, unter denen das Zertifikat ausgestellt wurde, und die Zwecke, für die es verwendet werden kann. Diese werden durch eine Sammlung von Objektbezeichnern (OIDs) identifiziert. Richtlinien werden für die Anforderungen einer Organisation angepasst.

Schnittstelle: IX509ExtensionCertificatePolicies

OID: XCN_OID_CERT_POLICIES (2.5.29.32)

CrlDistributionPoints

Die Erweiterung Verteilungspunkte der Zertifikatsperrliste (CRL) enthält den URI der Basis-Zertifikatsperrliste (CRL).

Schnittstelle: IX509Extension

OID: XCN_OID_CRL_DIST_POINTS (2.5.29.31)

EnhancedKeyUsage

Die Erweiterung Verbesserte Schlüsselverwendung kann verwendet werden, um eine oder mehrere Verwendungen des öffentlichen Schlüssels im Zertifikat zu definieren.

Schnittstelle: IX509ExtensionEnhancedKeyUsage

OID: XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)

FreshestCRL

Die neueste CRL-Erweiterung enthält den URI der Delta-CRL. Für diese Erweiterung und die CrlDistributionPoints-Erweiterung wird die gleiche ASN.1-Syntax verwendet.

Schnittstelle: IX509Extension

OID: XCN_OID_FRESHEST_CRL (2.5.29.46)

KeyUsage

Die Schlüsselverwendungserweiterung kann benutzt werden, um Einschränkungen für die Vorgänge zu definieren, die mit dem im Zertifikat enthaltenen öffentlichen Schlüssel ausgeführt werden können. Sie können z. B. angeben, dass der öffentliche Schlüssel nur zum Erstellen einer digitalen Signatur, zum Signieren einer Zertifikatsperrliste (Certificate Revocation List, CRL) oder zum Verschlüsseln eines anderen Schlüssels verwendet werden soll.

Schnittstelle: IX509ExtensionKeyUsage

OID: XCN_OID_KEY_USAGE (2.5.29.15)

MSApplicationPolicies

Die Erweiterung Microsoft-Anwendungsrichtlinien kann von einer Anwendung verwendet werden, um Zertifikate anhand der zulässigen Nutzung zu filtern. Zulässige Nutzungen werden durch OIDs identifiziert. Diese Erweiterung ähnelt der EnhancedKeyUsage-Erweiterung, aber es wird eine strengere Semantik auf die übergeordnete Zertifizierungsstelle angewendet. Die Erweiterung ist spezifisch für Microsoft. Bei nicht Windows-basierten Prüfern, die diese Erweiterung nicht unterstützen, kann diese Erweiterung ignoriert werden – auch wenn sie als kritisch gekennzeichnet ist – wenn auch die ExtendedKeyUsage-Erweiterung vorhanden ist.

Schnittstelle: IX509ExtensionMSApplicationPolicies

OID: XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)

NameConstraints

Die Namenseinschränkungserweiterung wird verwendet, um den Namespace zu identifizieren, in dem sich alle Antragstellernamen von Zertifikaten in einer Zertifikathierarchie befinden müssen. Die Erweiterung wird lediglich in einem Zertifizierungsstellenzertifikat verwendet.

Schnittstelle: IX509Extension

OID: XCN_OID_NAME_CONSTRAINTS (2.5.29.30)

PolicyConstraints

Die Erweiterung Richtlinieneinschränkungen wird Zertifizierungsstellenzertifikaten hinzugefügt, um die Pfadvalidierung einzuschränken, indem die Richtlinienzuordnung verboten wird oder indem verlangt wird, dass jedes Zertifikat in der Hierarchie einen akzeptablen Richtlinienbezeichner enthält.

Schnittstelle: IX509Extension

OID: XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)

PolicyMappings

Die Richtlinienzuordnungserweiterung wird verwendet, um die Richtlinien in einer untergeordneten Zertifizierungsstelle zu identifizieren, die Richtlinien in der ausstellenden Zertifizierungsstelle entsprechen. Der Erweiterungswert enthält eine Abfolge der ausstellenden Zertifizierungsstelle und untergeordneten Zertifizierungsstellenrichtlinienzuordnungen, die durch Objektbezeichner dargestellt werden.

Schnittstelle: IX509Extension

OID: XCN_OID_POLICY_MAPPINGS (2.5.29.33)

PrivateKeyUsagePeriod

Die Erweiterung Verwendungszeitraum für private Schlüssel wird verwendet, um eine andere Gültigkeitsdauer für den privaten Schlüssel anzugeben als für das Zertifikat, mit dem der Schlüssel verknüpft ist.

Schnittstelle: IX509Extension

OID: XCN_OID_PRIVATEKEY_USAGE_PERIOD (2.5.29.16)

SmimeCapabilities

Die Funktionserweiterung für Secure/Multipurpose Internet Mail Extensions kann verwendet werden, um die Entschlüsselungsfunktionen eines E-Mail-Empfängers an den Absender der E-Mail-Nachricht zu melden, damit der Absender den sichersten Verschlüsselungsalgorithmus auswählen kann, der von beiden Parteien unterstützt wird. Der Erweiterungswert enthält eine Sammlung symmetrischer Verschlüsselungsalgorithmus-OIDs und eine optionale Verschlüsselungsstärke für jeden davon.

Schnittstelle: IX509ExtensionSmimeCapabilities

OID: XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)

SubjectDirectoryAttributes

Die Erweiterung Verzeichnisattribute des Antragstellers kann verwendet werden, um Identifikationsattribute wie die Staatsangehörigkeit des Zertifikatsantragstellers zu vermitteln. Der Erweiterungswert ist eine Folge von OID-Wertepaaren.

Schnittstelle: IX509Extension

OID: XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)

SubjectKeyIdentifier

Die Erweiterung Antragstellerschlüsselbezeichner kann verwendet werden, um zwischen mehreren öffentlichen Schlüsseln zu unterscheiden, die vom Zertifikatantragsteller gehalten werden. Der Erweiterungswert ist normalerweise ein SHA-1-Hash des Schlüssels.

Schnittstelle: IX509ExtensionSubjectKeyIdentifier

OID: XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)

Vorlage

Die Vorlagenerweiterung kann verwendet werden, um die Version 2-Vorlage zu identifizieren, die beim Ausgeben oder Erneuern eines Zertifikats verwendet werden soll. Der Erweiterungswert enthält die Vorlagen-OID und optionale Versionsinformationen. Die Erweiterung ist spezifisch für Microsoft.

Schnittstelle: IX509ExtensionTemplate

OID: XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)

TemplateName

Die Erweiterung Vorlagenname kann verwendet werden, um die Version 1-Vorlage zu identifizieren, die beim Ausgeben oder Erneuern eines Zertifikats verwendet werden soll. Der Erweiterungswert enthält den Namen der Vorlage. Die Erweiterung ist spezifisch für Microsoft.

Schnittstelle: IX509ExtensionTemplateName

OID: XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)

Erweiterungen