支持的扩展
您可以使用 IX509Extension 接口定义任意扩展。 证书注册 API 还提供派生自 IX509Extension 的接口,使您能够轻松创建任何最常见的扩展。 以下列表标识 Microsoft 证书颁发机构支持的常见扩展,以及可用于创建它们的对象标识符和接口。
AlternativeNames
备用名称扩展可用于为证书请求使用者定义一个或多个备用名称表单。 示例备用形式包括电子邮件地址、DNS 名称、IP 地址和 URI。
接口:IX509ExtensionAlternativeNames
OID: XCN_OID_SUBJECT_ALT_NAME2 (2.5.29.17)
AuthorityInformationAccess
颁发机构信息访问扩展标识如何访问 CA 信息和服务。 扩展值包含 URI 序列。
OID: XCN_OID_AUTHORITY_INFO_ACCESS (1.3.6.1.5.5.7.1.1)
AuthorityKeyIdentifier
颁发机构密钥标识符扩展启用 CA 公钥的标识,该公钥与签名证书的 CA 私钥相对应。 它被 Windows 服务器上的证书路径构建软件用来查找 CA 证书。 当 CA 颁发证书时,扩展值设置为等于 CA 签名证书中的 SubjectKeyIdentifier 扩展。 值一般是公钥的 SHA-1 哈希。
接口:IX509ExtensionAuthorityKeyIdentifier
OID: XCN_OID_AUTHORITY_KEY_IDENTIFIER2 (2.5.29.35)
BasicConstraints
基本约束扩展可用于确定实体是否可以用作证书颁发机构 (CA),如果是,则标识证书链中可存在的从属 CA 的数量。
接口:IX509ExtensionBasicConstraints
OID: XCN_OID_BASIC_CONSTRAINTS2 (2.5.29.19)
CertificatePolicies
证书策略扩展可用于标识已颁发证书的策略,以及其用途。 这些由对象标识符 (OID) 集合标识。 策略针对组织的要求进行自定义。
接口:IX509ExtensionCertificatePolicies
OID: XCN_OID_CERT_POLICIES (2.5.29.32)
CrlDistributionPoints
证书吊销列表 (CRL) 分发点扩展包含基本证书吊销列表 (CRL) 的 URI。
OID: XCN_OID_CRL_DIST_POINTS (2.5.29.31)
EnhancedKeyUsage
增强型密钥用法扩展可用于定义证书中包含的公钥的一个或多个用法。
接口:IX509ExtensionEnhancedKeyUsage
OID: XCN_OID_ENHANCED_KEY_USAGE (2.5.29.37)
FreshestCRL
最新的 CRL 扩展包含增量 CRL 的 URI。 此扩展和 CrlDistributionPoints 扩展使用相同的 ASN.1 语法。
OID: XCN_OID_FRESHEST_CRL (2.5.29.46)
KeyUsage
密钥用法扩展可用于定义对证书中包含的公钥可执行的操作的限制。 例如,可以指定公钥仅用于创建数字签名、签署证书吊销列表(CRL) 或加密另一个密钥。
OID: XCN_OID_KEY_USAGE (2.5.29.15)
MSApplicationPolicies
应用程序可以使用 Microsoft 应用程序策略扩展根据允许的使用来筛选证书。 允许的用途由 OID 标识。 此扩展类似于 EnhancedKeyUsage 扩展,但对父 CA 应用了更严格的语义。 扩展特定于 Microsoft。 对于不支持此扩展的非基于 Windows 的验证程序,即使标记为严重,如果 ExtendedKeyUsage 扩展也存在,仍可以忽略此扩展。
接口:IX509ExtensionMSApplicationPolicies
OID: XCN_OID_APPLICATION_CERT_POLICIES (1.3.6.1.4.1.311.21.10)
NameConstraints
名称约束扩展用于标识证书层次结构中证书的所有使用者名称必须位于的命名空间。 扩展仅在 CA 证书中使用。
OID: XCN_OID_NAME_CONSTRAINTS (2.5.29.30)
PolicyConstraints
策略约束扩展已添加到 CA 证书中,以通过禁止策略映射或要求层次结构中的每个证书都包含可接受的策略标识符来限制路径验证。
OID: XCN_OID_POLICY_CONSTRAINTS (2.5.29.36)
PolicyMappings
策略映射扩展用于标识与颁发 CA 中的策略对应的从属 CA 中的策略。 扩展值包含一系列颁发 CA 和从属 CA 策略映射,这些映射由对象标识符表示。
OID: XCN_OID_POLICY_MAPPINGS (2.5.29.33)
PrivateKeyUsagePeriod
私钥使用期限延长用于指定私钥的有效期与密钥相关证书的有效期不同。
OID: XCN_OID_PRIVATEKEY_USAGE_PERIOD (2.5.29.16)
SmimeCapabilities
安全/多用途 Internet 邮件扩展 (S/MIME) 功能扩展可用于向电子邮件发件人报告电子邮件收件人的解密功能,以便发件人可以选择双方支持的最安全加密算法。 扩展值包含对称加密算法 OID 的集合,以及每个算法的可选加密强度。
接口:IX509ExtensionSmimeCapabilities
OID: XCN_OID_RSA_SMIMECapabilities (1.2.840.113549.1.9.15)
SubjectDirectoryAttributes
使用者目录属性扩展可用于传达标识属性,例如证书主体的国籍。 扩展值是 OID 值对序列。
OID: XCN_OID_SUBJECT_DIR_ATTRS (2.5.29.9)
SubjectKeyIdentifier
主体者密钥标识符扩展可用于区分证书主体持有的多个公钥。 扩展值一般是密钥的 SHA-1 哈希。
接口:IX509ExtensionSubjectKeyIdentifier
OID: XCN_OID_SUBJECT_KEY_IDENTIFIER (2.5.29.14)
模板
模板扩展可用于标识颁发或续订证书时要使用的版本 2 模板。 扩展值包含模板 OID 和可选版本信息。 扩展特定于 Microsoft。
OID: XCN_OID_CERTIFICATE_TEMPLATE (1.3.6.1.4.1.311.21.7)
TemplateName
模板名称扩展可用于标识颁发或续订证书时要使用的版本 1 模板。 扩展值包含模板的名称。 扩展特定于 Microsoft。
OID: XCN_OID_ENROLL_CERTTYPE_EXTENSION (1.3.6.1.4.1.311.20.2)
相关主题