Freigeben über

IX509ExtensionCertificatePolicies-Schnittstelle (certenroll.h)

  • Artikel

Mit der IX509ExtensionCertificatePolicies-Schnittstelle können Sie eine Sammlung von Richtlinieninformationsbegriffen angeben, die jeweils aus einem Objektbezeichner (OID) und optionalen Richtlinienqualifizierern bestehen. Ein einzelner Richtlinienausdruck wird durch ein ICertificatePolicy-Objekt definiert. Die folgende Syntax zeigt die AsN.1-Struktur ( Abstract Syntax Notation One ) der Erweiterung. Der Erweiterungswert wird mithilfe von Distinguished Encoding Rules (DER) codiert und in der Zertifikatanforderung enthalten.


----------------------------------------------------------------------
-- CertificatePolicies
-- XCN_OID_CERT_POLICIES (2.5.29.32)
----------------------------------------------------------------------

CertificatePolicies ::= SEQUENCE OF PolicyInformation

PolicyInformation ::= SEQUENCE 
{
   policyIdentifier    EncodedObjectID,
   policyQualifiers    PolicyQualifiers OPTIONAL
}

PolicyQualifiers ::=  SEQUENCE OF PolicyQualifierInfo

PolicyQualifierInfo ::= SEQUENCE 
{
   policyQualifierId   EncodedObjectID,
   qualifier           NOCOPYANY OPTIONAL
}


----------------------------------------------------------------------
-- UserNotice qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2)
----------------------------------------------------------------------

UserNotice ::= SEQUENCE 
{
   noticeRef,      -- Not supported
   explicitText    -- Not supported
}

----------------------------------------------------------------------
-- Certification Practice Statement (CPS) qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1)
----------------------------------------------------------------------

CpsURLs ::= SEQUENCE OF SEQUENCE 
{
   url                 IA5String,
   digestAlgorithmId,  -- Not supported
   digest              -- Not supported
}

----------------------------------------------------------------------
-- CertificatePolicies95, XCN_OID_CERT_POLICIES_95 (2.5.29.3),
-- supports the deprecated definition of policies and qualifiers.
----------------------------------------------------------------------

CertificatePolicies95 ::= SEQUENCE OF PolicyQualifiers

Wenn sie in einem Zertifikat enthalten ist, das für eine Endentität ausgestellt wurde, identifiziert diese Erweiterung die Richtlinien, unter denen das Zertifikat ausgestellt wurde, und die Zwecke, für die das Zertifikat verwendet werden kann. Anwendungen mit bestimmten Richtlinienanforderungen sollten diese mit der Auflistung von Richtlinienobjektbezeichnern (OIDs) im Zertifikat vergleichen.

Wenn sie in einem Zertifizierungsstellenzertifikat enthalten ist, schränkt diese Erweiterung den Richtliniensatz für die Zertifizierungspfade ein, die sich vom Zertifizierungsstellenzertifikat aus erstrecken. Wenn eine Zertifizierungsstelle diesen Satz nicht einschränken möchte, kann sie XCN_OID_ANY_CERT_POLICY (2.5.29.32.0) bestätigen.

Diese Erweiterung wird unter Zertifizierungsstellen unter Windows Server 2003 und höher unterstützt. Die folgenden Richtlinien sind vordefiniert. Der x.y.z-Teil jeder OID stellt eine zufällig generierte numerische Sequenz dar, die für jede Gesamtstruktur eindeutig ist. Sie können auch benutzerdefinierte OIDs erstellen, um benutzerdefinierte Ausstellungsrichtlinien darzustellen.

Richtlinie BESCHREIBUNG
Alle Ausstellungen(2.5.29.32.0) Enthält alle anderen Richtlinien. Dies wird in der Regel nur Zertifizierungsstellenzertifikaten zugewiesen. Die OID ist XCN_OID_ANY_CERT_POLICY.
Niedrige Zuverlässigkeit(1.3.6.1.4.1.311.21.8.x.y.z.1.400) Gibt an, dass ein Zertifikat ohne zusätzliche Sicherheitsanforderungen ausgestellt wird.
Mittlere Sicherheit (1.3.6.1.4.1.311.21.8.x.y.z.1.401) Gibt an, dass für die Zertifikatausstellung zusätzliche Sicherheitsanforderungen gelten. Die Richtlinie kann z. B. verlangen, dass der Antragsteller des Zertifikats physisch vor der Zertifizierungsstelle angezeigt wird.
Hohe Sicherheit (1.3.6.1.4.1.311.21.8.x.y.z.1.402) Gibt an, dass das Zertifikat mit der höchsten Sicherheit ausgestellt wird. Beispielsweise kann die Ausstellung eines Schlüsselwiederherstellungs-Agent-Zertifikats zusätzliche Hintergrundüberprüfungen und eine digitale Signatur von einer bestimmten genehmigenden Person erfordern, da eine Person, die dieses Zertifikat besitzt, private Schlüsselmaterial von der Zertifizierungsstelle wiederherstellen kann.
 

Richtlinienqualifizierer können verwendet werden, wenn eine OID nicht ausreicht, um eine Richtlinie vollständig zu identifizieren. Qualifizierer werden mithilfe der IPolicyQualifier-Schnittstelle definiert und können einer Richtlinie zugeordnet werden, indem der IPolicyQualifiers-Auflistung , die aus einem ICertificatePolicy-Objekt abgerufen wird, Qualifizierer hinzugefügt werden. Eine Windows-Zertifizierungsstelle unterstützt die folgenden Qualifizierer.

Wert BESCHREIBUNG
XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE(1.3.6.1.5.5.7.2.2) Enthält einen Hinweis, der jedem Benutzer angezeigt werden soll, der auf das Zertifikat angewiesen ist.
XCN_OID_PKIX_POLICY_QUALIFIER_CPS(1.3.6.1.5.5.7.2.1) Gibt einen Zeiger auf einen URI an, der die von der Zertifizierungsstelle definierte Zertifizierungspraxis-Anweisung (CPS) enthält.
 

Um dieses Erweiterungsobjekt einer PKCS #10-Anforderung oder einer CMC-Anforderung hinzuzufügen, müssen Sie es zunächst einer IX509Extensions-Auflistung hinzufügen und die Auflistung verwenden, um ein IX509AttributeExtensions-Objekt zu initialisieren. Weitere Informationen finden Sie in den Themen PKCS #10-Erweiterungen und CMC-Erweiterungen .

Vererbung

Die IX509ExtensionCertificatePolicies-Schnittstelle erbt von IX509Extension. IX509ExtensionCertificatePolicies verfügt auch über folgende Membertypen:

Methoden

Die IX509ExtensionCertificatePolicies-Schnittstelle verfügt über diese Methoden.

 
IX509ExtensionCertificatePolicies::get_Policies

Ruft eine Auflistung von Zertifikatrichtlinien ab.
IX509ExtensionCertificatePolicies::InitializeDecode

Initialisiert das -Objekt aus einem Distinguished Encoding Rules (DER)-codierten Bytearray, das den Erweiterungswert enthält.
IX509ExtensionCertificatePolicies::InitializeEncode

Initialisiert das -Objekt aus einer ICertificatePolicies-Auflistung.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows Vista [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2008 [nur Desktop-Apps]
Zielplattform Windows
Kopfzeile certenroll.h

Weitere Informationen

Certificate Enrollment API (Zertifikatregistrierungs-API, in englischer Sprache)

Erweiterungen

IX509Extension