サポートされる拡張子

[アーティクル]
07/24/2024

任意の拡張機能を定義するには、IX509Extension インターフェイスを使用できます。また、証明書の登録 API では、IX509Extension から派生したインターフェイスが用意されており、最も一般的な拡張機能を簡単に作成することができます。次の一覧では、Microsoft の証明機関でサポートされている一般的な拡張機能、およびそれらを作成するために使用できるオブジェクト識別子とインターフェイスを示しています。

AlternativeNames

別名拡張機能を使用して、証明書要求のサブジェクトに対して 1 つ以上の別名フォームを定義できます。別名形式の例として、メールアドレス、DNS 名、IP アドレス、URI などがあります。

インターフェイス: IX509ExtensionAlternativeNames

OID: XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)

AuthorityInformationAccess

機関情報アクセス拡張機能は、CA 情報およびサービスにアクセスする方法を識別します。拡張値には、URI のシーケンスが含まれています。

インターフェイス: IX509Extension

OID: XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)

AuthorityKeyIdentifier

機関キー識別子拡張機能を使用すると、発行された証明書に署名した CA 秘密キーに対応する CA 公開キーを識別できます。これは、Windows Server 上のソフトウェアを構築する証明書パスによって、CA 証明書を検索するために使用されます。 CA が証明書を発行すると、拡張値は CA 署名証明書の SubjectKeyIdentifier 拡張機能と等しく設定されます。値は通常、公開キーの SHA-1 ハッシュです。

インターフェイス: IX509ExtensionAuthorityKeyIdentifier

OID: XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)

BasicConstraints

基本制約拡張機能を使用すると、エンティティを証明機関 (CA) として使用できるかどうかを識別し、使用できる場合は、証明書チェーン内でその下に存在できる下位 CA の数を特定することができます。

インターフェイス: IX509ExtensionBasicConstraints

OID: XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)

CertificatePolicies

証明書ポリシー拡張機能は、証明書がどのポリシーで発行されたかと、その使用目的を識別するために使用できます。これらは、オブジェクト識別子 (OID) のコレクションによって識別されます。ポリシーは、組織の要件に合わせてカスタマイズされます。

インターフェイス: IX509ExtensionCertificatePolicies

OID: XCN_OID_CERT_POLICIES (2.5.29.32)

CrlDistributionPoints

証明書失効リスト (CRL) 配布ポイント拡張機能には、基本証明書失効リスト (CRL) の URI が含まれています。

インターフェイス: IX509Extension

OID: XCN_OID_CRL_DIST_POINTS (2.5.29.31)

EnhancedKeyUsage

拡張キー使用法拡張機能を使用すると、証明書に含まれる公開キーの 1 つ以上の用途を定義できます。

インターフェイス: IX509ExtensionEnhancedKeyUsage

OID: XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)

FreshestCRL

最新の CRL 拡張機能には、デルタ CRL の URI が含まれています。この拡張機能と CrlDistributionPoints 拡張機能には、同じ ASN.1 構文が使用されます。

インターフェイス: IX509Extension

OID: XCN_OID_FRESHEST_CRL (2.5.29.46)

KeyUsage

キー使用法拡張機能を使用すると、証明書に含まれる公開キーによって実行できる操作の制限を定義できます。たとえば、デジタル署名の作成、証明書失効リスト (CRL) への署名、あるいは別のキーの暗号化にのみ公開キーを使用するように指定することができます。

インターフェイス: IX509ExtensionKeyUsage

OID: XCN_OID_KEY_USAGE (2.5.29.15)

MSApplicationPolicies

Microsoft アプリケーションポリシー拡張機能は、許可された使用に基づいて証明書をフィルター処理するためにアプリケーションで使用できます。許可される使用は OID によって識別されます。この拡張機能は、EnhancedKeyUsage 拡張機能に似ていますが、親 CA にはより厳密なセマンティクスが適用されます。拡張機能は Microsoft 固有です。この拡張機能をサポートしていない Windows ベース以外の検証ツールについては、ExtendedKeyUsage 拡張機能も存在する場合は、重要とマークされている場合でも、この拡張機能を無視できます。

インターフェイス: IX509ExtensionMSApplicationPolicies

OID: XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)

NameConstraints

名前制約拡張機能は、証明書階層内の証明書のすべてのサブジェクト名が配置されている必要がある名前空間を識別するために使用されます。この拡張機能は CA 証明書でのみ使われます。

インターフェイス: IX509Extension

OID: XCN_OID_NAME_CONSTRAINTS (2.5.29.30)

PolicyConstraints

ポリシー制約拡張機能は、CA 証明書に追加され、ポリシーマッピングを禁止するか、階層内の各証明書に受け入れ可能なポリシー識別子が含まれていることを要求することによって、パス検証を制限します。

インターフェイス: IX509Extension

OID: XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)

PolicyMappings

ポリシーマッピング拡張機能は、発行元 CA のポリシーに対応する下位 CA のポリシーを識別するために使用されます。拡張値には、オブジェクト識別子によって表される CA および下位 CA ポリシーマッピングを発行するシーケンスが含まれます。

インターフェイス: IX509Extension

OID: XCN_OID_POLICY_MAPPINGS (2.5.29.33)

PrivateKeyUsagePeriod

秘密キーの使用期間の延長は、秘密キーの有効期間を、キーが関連付けられている証明書とは異なる有効期間で指定するために使用されます。

インターフェイス: IX509Extension

OID: XCN_OID_PRIVATEKEY_USAGE_PERIOD (2.5.29.16)

SmimeCapabilities

Secure/Multipurpose Internet Mail Extensions (S/MIME) 機能の拡張機能を使用すると、メール受信者の復号化機能を電子メールメッセージの送信者に報告できます。これにより、送信者は、両当事者でサポートされている最も安全な暗号化アルゴリズムを選択することができます。拡張値には、対称暗号化アルゴリズム OID のコレクションと、それぞれのオプションの暗号化強度が含まれます。

インターフェイス: IX509ExtensionSmimeCapabilities

OID: XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)

SubjectDirectoryAttributes

サブジェクトディレクトリ属性拡張機能を使用すると、証明書のサブジェクトの国籍などの識別属性を伝えることができます。この拡張機能の値は、OID と値のペアが連続する形になります。

インターフェイス: IX509Extension

OID: XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)

SubjectKeyIdentifier

サブジェクトキー識別子拡張機能を使用すると、証明書のサブジェクトによって保持されている複数の公開キーを識別することができます。この拡張機能の値は、通常は、キーの SHA-1 ハッシュです。

インターフェイス: IX509ExtensionSubjectKeyIdentifier

OID: XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)

Template

テンプレート拡張機能を使用すると、証明書の発行または更新時に使用するバージョン 2 テンプレートを識別できます。拡張値には、テンプレート OID とオプションのバージョン情報が含まれます。拡張機能は Microsoft 固有です。

インターフェイス: IX509ExtensionTemplate

OID: XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)

TemplateName

テンプレート名拡張機能を使用すると、証明書の発行または更新時に使用するバージョン 1 テンプレートを識別できます。拡張値には、テンプレートの名前が含まれます。拡張機能は Microsoft 固有です。

インターフェイス: IX509ExtensionTemplateName

OID: XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)

拡張機能

次の方法で共有

サポートされる拡張子

AlternativeNames

AuthorityInformationAccess

AuthorityKeyIdentifier

BasicConstraints

CertificatePolicies

CrlDistributionPoints

EnhancedKeyUsage

FreshestCRL

KeyUsage

MSApplicationPolicies

NameConstraints

PolicyConstraints

PolicyMappings

PrivateKeyUsagePeriod

SmimeCapabilities

SubjectDirectoryAttributes

SubjectKeyIdentifier

Template

TemplateName

フィードバック

その他のリソース

次の方法で共有

サポートされる拡張子

AlternativeNames

AuthorityInformationAccess

AuthorityKeyIdentifier

BasicConstraints

CertificatePolicies

CrlDistributionPoints

EnhancedKeyUsage

FreshestCRL

KeyUsage

MSApplicationPolicies

NameConstraints

PolicyConstraints

PolicyMappings

PrivateKeyUsagePeriod

SmimeCapabilities

SubjectDirectoryAttributes

SubjectKeyIdentifier

Template

TemplateName

関連トピック

フィードバック

その他のリソース