Compartir a través de


Módulos de directiva

Los módulos de directiva son programas que reciben solicitudes de servicios de certificados, evalúan esas solicitudes y especifican propiedades opcionales de los certificados creados para rellenar estas solicitudes. Un módulo de directiva se implementa como una biblioteca de vínculos dinámicos (DLL). Un módulo de directiva puede usar la interfaz ICertServerPolicy para comunicarse con Certificate Services. Servicios de certificados se comunica con un módulo de directiva mediante llamadas COM directas o, si el módulo no admite llamadas COM directas, mediante automatización.

Un módulo de directiva puede ver las propiedades y extensiones de certificado existentes, y también puede ver las propiedades y los atributos de solicitud. Además, un módulo de directiva puede establecer o modificar extensiones de certificado y propiedades "NotBefore" y "NotAfter", así como el nombre distintivo relativo (RDN) de un firmante del certificado, sujeto a ciertas restricciones. En última instancia, un módulo de directiva emite o deniega la solicitud de certificado o la mantiene pendiente.

Antes de escribir un módulo de directiva personalizada, considere la posibilidad de usar uno de los módulos de directiva predeterminados. Tanto la entidad de certificación empresarial (CA) de Certificate Services como la entidad de certificación independiente se suministran con un módulo de directiva predeterminado adecuado. Tanto los módulos de directivas predeterminadas de empresa como los independientes emiten solicitudes de certificado (aunque la directiva predeterminada independiente es contener el certificado pendiente hasta que un administrador lo emita manualmente). Una entidad de certificación empresarial solo debe usar el módulo de directiva empresarial proporcionado por Microsoft.

La entidad de certificación empresarial requiere Active Directory. Entre las características adicionales de su módulo de directiva predeterminado se incluyen plantillas de certificado, seguridad de la lista de control de acceso (ACL) en las plantillas de certificado para asegurarse de que las solicitudes solo se emiten a las extensiones autorizadas, predefinidas agregadas al certificado emitido y la compatibilidad con certificados de inicio de sesión de dominio de tarjeta inteligente.

El módulo de directiva de CA independiente predeterminado no admite muchas de las características del módulo de empresa predeterminado, pero admite la emisión de certificados de tarjeta inteligente. Para obtener detalles específicos, así como las funcionalidades más actuales del módulo de directivas predeterminadas, consulte la documentación del producto.

En el caso de las instalaciones en las que el módulo de directiva predeterminado es inaceptable, Certificate Services permite módulos de directiva personalizados. Para obtener más información, consulte Escritura de módulos de directivas personalizadas.