Mit Anwendungsrichtlinien erhalten Sie die entscheidende Möglichkeit, festzulegen, welche Zertifikate für bestimmte Zwecke verwendet werden können. So können Sie viele Zertifikate ausstellen, ohne Bedenken zu haben, dass sie für einen unerwünschten Zweck verwendet werden.
Die Anwendungsrichtlinien dienen als Einstellungen, um ein Ziel darüber zu informieren, dass der Antragsteller ein Zertifikat besitzt, das zum Ausführen einer bestimmten Aufgabe verwendet werden kann. Sie werden in einem Zertifikat durch eine Objektkennung (Object Identifier, OID) dargestellt, die für eine bestimmte Anwendung definiert ist. Diese Objektkennung ist in dem ausgestellten Zertifikat enthalten. Wenn ein Antragsteller sein Zertifikat vorlegt, kann dieses vom Zertifikatempfänger untersucht werden, um die Anwendungsrichtlinie zu überprüfen und zu ermitteln, ob der Antragsteller die angeforderte Aktion ausführen kann.
Anwendungsrichtlinien werden manchmal als erweiterte Schlüsselverwendung bezeichnet. Nicht alle Implementierungen von PKI-Anwendungen (Public Key Infrastructure, Public Key-Infrastruktur) können Anwendungsrichtlinien verarbeiten. Deshalb enthalten Zertifikate, die von einer auf Windows Server-basierenden Zertifizierungsstelle ausgestellt wurden, Abschnitte zu Anwendungsrichtlinien sowie Abschnitte zur erweiterten Schlüsselverwendung. In der folgenden Tabelle werden einige häufig verwendete Anwendungsrichtlinien aufgelistet.
| Zweck | Objektkennung |
|---|---|
|
Clientauthentifizierung |
1.3.6.1.5.5.7.3.2 |
|
Zertifizierungsstellen-Verschlüsselungszertifikat |
1.3.6.1.4.1.311.21.5 |
|
Smartcard-Anmeldung |
1.3.6.1.4.1.311.20.2.2 |
|
Dokumentsignatur |
1.3.6.1.4.1.311.10.3.12 |
|
Dateiwiederherstellung |
1.3.6.1.4.1.311.10.3.4.1 |
|
Schlüsselwiederherstellung |
1.3.6.1.4.1.311.10.3.11 |
|
Microsoft-Vertrauenslistensignatur |
1.3.6.1.4.1.311.10.3.1 |
|
Qualifizierte Unterordnung |
1.3.6.1.4.1.311.10.3.10 |
|
Stammlistensignaturgeber |
1.3.6.1.4.1.311.10.3.9 |
Die Möglichkeit zum Ändern oder Erstellen neuer Anwendungsrichtlinien steht nur für Zertifikatvorlagen der Versionen 2 und 3 zur Verfügung. Weitere Informationen finden Sie unter Standardzertifikatvorlagen.
Clients, die bereits über ein auf der vorherigen Vorlage basierendes Zertifikat verfügen, müssen erneut registriert werden, um ein auf einer geänderten Vorlage basierendes Zertifikat zu erhalten. Weitere Informationen zum erneuten Registrieren von Clients finden Sie unter Erneutes Registrieren aller Zertifikatinhaber.
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins, Organisations-Admins oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
 | So fügen Sie eine Ausstellungsrichtlinie hinzu |
Öffnen Sie das Zertifikatvorlagen-Snap-In.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Erweiterungen auf Anwendungsrichtlinien, und klicken Sie dann auf Bearbeiten.
Klicken Sie unter Anwendungsrichtlinienerweiterung bearbeiten auf Hinzufügen.
Klicken Sie unter Anwendungsrichtlinie hinzufügen auf die Anwendungsrichtlinie, die Sie hinzufügen möchten, und klicken Sie dann auf OK.
Die gewünschte Anwendungsrichtlinie steht möglicherweise nicht zur Verfügung. In diesem Fall können Sie eine neue Anwendungsrichtlinie erstellen.
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins, Organisations-Admins oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
| So erstellen Sie eine Anwendungsrichtlinie |
Öffnen Sie das Zertifikatvorlagen-Snap-In.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Erweiterungen auf Anwendungsrichtlinien, und klicken Sie dann auf Bearbeiten.
Klicken Sie unter Anwendungsrichtlinienerweiterung bearbeiten auf Hinzufügen.
Klicken Sie unter Anwendungsrichtlinie hinzufügen auf Neu.
Geben Sie die angeforderten Informationen ein.