IX509ExtensionCertificatePolicies-Schnittstelle (certenroll.h)
Mit der IX509ExtensionCertificatePolicies-Schnittstelle können Sie eine Sammlung von Richtlinieninformationsbegriffen angeben, die jeweils aus einem Objektbezeichner (OID) und optionalen Richtlinienqualifizierern bestehen. Ein einzelner Richtlinienausdruck wird durch ein ICertificatePolicy-Objekt definiert. Die folgende Syntax zeigt die AsN.1-Struktur ( Abstract Syntax Notation One ) der Erweiterung. Der Erweiterungswert wird mithilfe von Distinguished Encoding Rules (DER) codiert und in der Zertifikatanforderung enthalten.
----------------------------------------------------------------------
-- CertificatePolicies
-- XCN_OID_CERT_POLICIES (2.5.29.32)
----------------------------------------------------------------------
CertificatePolicies ::= SEQUENCE OF PolicyInformation
PolicyInformation ::= SEQUENCE
{
policyIdentifier EncodedObjectID,
policyQualifiers PolicyQualifiers OPTIONAL
}
PolicyQualifiers ::= SEQUENCE OF PolicyQualifierInfo
PolicyQualifierInfo ::= SEQUENCE
{
policyQualifierId EncodedObjectID,
qualifier NOCOPYANY OPTIONAL
}
----------------------------------------------------------------------
-- UserNotice qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2)
----------------------------------------------------------------------
UserNotice ::= SEQUENCE
{
noticeRef, -- Not supported
explicitText -- Not supported
}
----------------------------------------------------------------------
-- Certification Practice Statement (CPS) qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1)
----------------------------------------------------------------------
CpsURLs ::= SEQUENCE OF SEQUENCE
{
url IA5String,
digestAlgorithmId, -- Not supported
digest -- Not supported
}
----------------------------------------------------------------------
-- CertificatePolicies95, XCN_OID_CERT_POLICIES_95 (2.5.29.3),
-- supports the deprecated definition of policies and qualifiers.
----------------------------------------------------------------------
CertificatePolicies95 ::= SEQUENCE OF PolicyQualifiers
Wenn sie in einem Zertifikat enthalten ist, das für eine Endentität ausgestellt wurde, identifiziert diese Erweiterung die Richtlinien, unter denen das Zertifikat ausgestellt wurde, und die Zwecke, für die das Zertifikat verwendet werden kann. Anwendungen mit bestimmten Richtlinienanforderungen sollten diese mit der Auflistung von Richtlinienobjektbezeichnern (OIDs) im Zertifikat vergleichen.
Wenn sie in einem Zertifizierungsstellenzertifikat enthalten ist, schränkt diese Erweiterung den Richtliniensatz für die Zertifizierungspfade ein, die sich vom Zertifizierungsstellenzertifikat aus erstrecken. Wenn eine Zertifizierungsstelle diesen Satz nicht einschränken möchte, kann sie XCN_OID_ANY_CERT_POLICY (2.5.29.32.0) bestätigen.
Diese Erweiterung wird unter Zertifizierungsstellen unter Windows Server 2003 und höher unterstützt. Die folgenden Richtlinien sind vordefiniert. Der x.y.z-Teil jeder OID stellt eine zufällig generierte numerische Sequenz dar, die für jede Gesamtstruktur eindeutig ist. Sie können auch benutzerdefinierte OIDs erstellen, um benutzerdefinierte Ausstellungsrichtlinien darzustellen.
| Richtlinie | BESCHREIBUNG |
|---|---|
| Alle Ausstellungen(2.5.29.32.0) | Enthält alle anderen Richtlinien. Dies wird in der Regel nur Zertifizierungsstellenzertifikaten zugewiesen. Die OID ist XCN_OID_ANY_CERT_POLICY. |
| Niedrige Zuverlässigkeit(1.3.6.1.4.1.311.21.8.x.y.z.1.400) | Gibt an, dass ein Zertifikat ohne zusätzliche Sicherheitsanforderungen ausgestellt wird. |
| Mittlere Sicherheit (1.3.6.1.4.1.311.21.8.x.y.z.1.401) | Gibt an, dass für die Zertifikatausstellung zusätzliche Sicherheitsanforderungen gelten. Die Richtlinie kann z. B. verlangen, dass der Antragsteller des Zertifikats physisch vor der Zertifizierungsstelle angezeigt wird. |
| Hohe Sicherheit (1.3.6.1.4.1.311.21.8.x.y.z.1.402) | Gibt an, dass das Zertifikat mit der höchsten Sicherheit ausgestellt wird. Beispielsweise kann die Ausstellung eines Schlüsselwiederherstellungs-Agent-Zertifikats zusätzliche Hintergrundüberprüfungen und eine digitale Signatur von einer bestimmten genehmigenden Person erfordern, da eine Person, die dieses Zertifikat besitzt, private Schlüsselmaterial von der Zertifizierungsstelle wiederherstellen kann. |
Richtlinienqualifizierer können verwendet werden, wenn eine OID nicht ausreicht, um eine Richtlinie vollständig zu identifizieren. Qualifizierer werden mithilfe der IPolicyQualifier-Schnittstelle definiert und können einer Richtlinie zugeordnet werden, indem der IPolicyQualifiers-Auflistung , die aus einem ICertificatePolicy-Objekt abgerufen wird, Qualifizierer hinzugefügt werden. Eine Windows-Zertifizierungsstelle unterstützt die folgenden Qualifizierer.
| Wert | BESCHREIBUNG |
|---|---|
| XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE(1.3.6.1.5.5.7.2.2) | Enthält einen Hinweis, der jedem Benutzer angezeigt werden soll, der auf das Zertifikat angewiesen ist. |
| XCN_OID_PKIX_POLICY_QUALIFIER_CPS(1.3.6.1.5.5.7.2.1) | Gibt einen Zeiger auf einen URI an, der die von der Zertifizierungsstelle definierte Zertifizierungspraxis-Anweisung (CPS) enthält. |
Um dieses Erweiterungsobjekt einer PKCS #10-Anforderung oder einer CMC-Anforderung hinzuzufügen, müssen Sie es zunächst einer IX509Extensions-Auflistung hinzufügen und die Auflistung verwenden, um ein IX509AttributeExtensions-Objekt zu initialisieren. Weitere Informationen finden Sie in den Themen PKCS #10-Erweiterungen und CMC-Erweiterungen .
Vererbung
Die IX509ExtensionCertificatePolicies-Schnittstelle erbt von IX509Extension. IX509ExtensionCertificatePolicies verfügt auch über folgende Membertypen:
Methoden
Die IX509ExtensionCertificatePolicies-Schnittstelle verfügt über diese Methoden.
| IX509ExtensionCertificatePolicies::get_Policies Ruft eine Auflistung von Zertifikatrichtlinien ab. |
| IX509ExtensionCertificatePolicies::InitializeDecode Initialisiert das -Objekt aus einem Distinguished Encoding Rules (DER)-codierten Bytearray, das den Erweiterungswert enthält. |
| IX509ExtensionCertificatePolicies::InitializeEncode Initialisiert das -Objekt aus einer ICertificatePolicies-Auflistung. |
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Windows Vista [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2008 [nur Desktop-Apps] |
| Zielplattform | Windows |
| Kopfzeile | certenroll.h |
Weitere Informationen
Certificate Enrollment API (Zertifikatregistrierungs-API, in englischer Sprache)
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für