Richtlinienmodule

Richtlinienmodule sind Programme, die Anforderungen von den Zertifikatdiensten empfangen, diese Anforderungen auswerten und optionale Eigenschaften der Zertifikate angeben, die für diese Anforderungen erstellt werden. Ein Richtlinienmodul wird als DLL ( Dynamic Link Library ) implementiert. Ein Richtlinienmodul kann die ICertServerPolicy-Schnittstelle verwenden, um mit Zertifikatdiensten zu kommunizieren. Certificate Services kommuniziert mit einem Richtlinienmodul über direkte COM-Aufrufe oder, wenn das Modul keine direkten COM-Aufrufe unterstützt, mithilfe von Automation.

Ein Richtlinienmodul kann vorhandene Zertifikateigenschaften und Erweiterungen sowie Anforderungsattribute und -eigenschaften anzeigen. Darüber hinaus kann ein Richtlinienmodul Zertifikaterweiterungen und die Eigenschaften "NotBefore" und "NotAfter" sowie den relativen distinguished Name (RDN) eines Zertifikatsubjekts festlegen oder ändern, sofern bestimmte Einschränkungen gelten. Ein Richtlinienmodul stellt letztendlich die Zertifikatanforderung aus oder verweigert sie oder hält sie für ausstehend.

Bevor Sie ein benutzerdefiniertes Richtlinienmodul schreiben, sollten Sie eines der Standardrichtlinienmodule verwenden. Sowohl die Certificate Services Enterprise Certification Authority (CA) als auch die eigenständige Zertifizierungsstelle werden mit einem entsprechenden Standardrichtlinienmodul ausgeliefert. Sowohl die Enterprise- als auch die eigenständigen Standardrichtlinienmodule stellen Zertifikatanforderungen aus (obwohl die eigenständige Standardrichtlinie darin besteht, das Zertifikat ausstehend zu halten, bis es manuell von einem Administrator ausgestellt wird). Eine Unternehmenszertifizierungsstelle sollte nur das von Microsoft bereitgestellte Unternehmensrichtlinienmodul verwenden.

Die Unternehmenszertifizierungsstelle erfordert Active Directory. Zu den zusätzlichen Features des Standardrichtlinienmoduls gehören Zertifikatvorlagen, ACL-Sicherheit (Access Control List, Zugriffssteuerungsliste) für die Zertifikatvorlagen, um sicherzustellen, dass Anforderungen nur an die autorisierten, vordefinierten Erweiterungen ausgegeben werden, die dem ausgestellten Zertifikat hinzugefügt wurden, und Unterstützung für intelligente Karte Domänenanmeldungszertifikate.

Das Standardmodul für eigenständige Zertifizierungsstellenrichtlinien unterstützt nicht viele Der Features des Standard-Unternehmensmoduls, aber es unterstützt die Ausstellung von Smart Karte-Zertifikaten. Ausführliche Informationen sowie die neuesten Funktionen des Standardrichtlinienmoduls finden Sie in der Produktdokumentation.

Für Installationen, bei denen das Standardrichtlinienmodul inakzeptabel ist, lässt Certificate Services benutzerdefinierte Richtlinienmodule zu. Weitere Informationen finden Sie unter Schreiben benutzerdefinierter Richtlinienmodule.