Interface IX509ExtensionCertificatePolicies (certenroll.h)
L’interface IX509ExtensionCertificatePolicies vous permet de spécifier une collection de termes d’informations de stratégie, chacun se composant d’un identificateur d’objet (OID) et de qualificateurs de stratégie facultatifs. Un terme de stratégie unique est défini par un objet ICertificatePolicy . La syntaxe suivante montre la structure ASN.1 ( Abstract Syntax Notation One ) de l’extension. La valeur de l’extension est encodée à l’aide de Distinguished Encoding Rules (DER) et incluse dans la demande de certificat.
----------------------------------------------------------------------
-- CertificatePolicies
-- XCN_OID_CERT_POLICIES (2.5.29.32)
----------------------------------------------------------------------
CertificatePolicies ::= SEQUENCE OF PolicyInformation
PolicyInformation ::= SEQUENCE
{
policyIdentifier EncodedObjectID,
policyQualifiers PolicyQualifiers OPTIONAL
}
PolicyQualifiers ::= SEQUENCE OF PolicyQualifierInfo
PolicyQualifierInfo ::= SEQUENCE
{
policyQualifierId EncodedObjectID,
qualifier NOCOPYANY OPTIONAL
}
----------------------------------------------------------------------
-- UserNotice qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2)
----------------------------------------------------------------------
UserNotice ::= SEQUENCE
{
noticeRef, -- Not supported
explicitText -- Not supported
}
----------------------------------------------------------------------
-- Certification Practice Statement (CPS) qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1)
----------------------------------------------------------------------
CpsURLs ::= SEQUENCE OF SEQUENCE
{
url IA5String,
digestAlgorithmId, -- Not supported
digest -- Not supported
}
----------------------------------------------------------------------
-- CertificatePolicies95, XCN_OID_CERT_POLICIES_95 (2.5.29.3),
-- supports the deprecated definition of policies and qualifiers.
----------------------------------------------------------------------
CertificatePolicies95 ::= SEQUENCE OF PolicyQualifiers
Lorsqu’elle est incluse dans un certificat émis pour une entité finale, cette extension identifie les stratégies sous lesquelles le certificat a été émis et les objectifs pour lesquels le certificat peut être utilisé. Les applications qui ont des exigences de stratégie spécifiques doivent les comparer à la collection d’identificateurs d’objets de stratégie (OID) dans le certificat.
Lorsqu’elle est incluse dans un certificat d’autorité de certification , cette extension limite l’ensemble de stratégies pour les chemins de certification qui s’étendent à partir du certificat d’autorité de certification. Si une autorité de certification ne souhaite pas limiter cet ensemble, elle peut faire valoir XCN_OID_ANY_CERT_POLICY (2.5.29.32.0).
Cette extension est prise en charge sur les autorités de certification Windows Server 2003 et ultérieures. Les stratégies suivantes sont prédéfinies. La partie x.y.z de chaque OID représente une séquence numérique générée aléatoirement qui est unique pour chaque forêt. Vous pouvez également créer des OID personnalisés pour représenter des stratégies d’émission personnalisées.
| Stratégie | Description |
|---|---|
| Toutes les émissions(2.5.29.32.0) | Contient toutes les autres stratégies. Cela est généralement attribué uniquement aux certificats d’autorité de certification. L’OID est XCN_OID_ANY_CERT_POLICY. |
| Low Assurance(1.3.6.1.4.1.311.21.8.x.y.z.1.400) | Indique qu’un certificat est émis sans exigences de sécurité supplémentaires. |
| Moyenne assurance (1.3.6.1.4.1.311.21.8.x.y.z.1.401) | Indique qu’une émission de certificat a des exigences de sécurité supplémentaires. Par exemple, la stratégie peut exiger que l’objet du certificat apparaisse physiquement devant l’autorité de certification. |
| High Assurance (1.3.6.1.4.1.311.21.8.x.y.z.1.402) | Indique que le certificat est émis avec la sécurité la plus élevée. Par exemple, l’émission d’un certificat d’agent de récupération de clé peut nécessiter des vérifications d’arrière-plan supplémentaires et une signature numérique d’un approbateur désigné, car une personne détenant ce certificat peut récupérer le matériel de clé privée auprès de l’autorité de certification. |
Les qualificateurs de stratégie peuvent être utilisés lorsqu’un OID est considéré comme insuffisant pour identifier entièrement une stratégie. Les qualificateurs sont définis à l’aide de l’interface IPolicyQualifier et peuvent être associés à une stratégie en ajoutant des qualificateurs à la collection IPolicyQualifiers récupérée à partir d’un objet ICertificatePolicy . Une autorité de certification Windows prend en charge les qualificateurs suivants.
| Valeur | Description |
|---|---|
| XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE(1.3.6.1.5.5.7.2.2) | Contient une notification à afficher à tout utilisateur qui s’appuie sur le certificat. |
| XCN_OID_PKIX_POLICY_QUALIFIER_CPS(1.3.6.1.5.5.7.2.1) | Identifie un pointeur vers un URI qui contient l’instruction de pratique de certification (CPS) définie par l’autorité de certification. |
Pour ajouter cet objet d’extension à une requête PKCS #10 ou une requête CMC, vous devez d’abord l’ajouter à une collection IX509Extensions et utiliser la collection pour initialiser un objet IX509AttributeExtensions . Pour plus d’informations, consultez les rubriques Extensions PKCS #10 et Extensions CMC .
Héritage
L’interface IX509ExtensionCertificatePolicies hérite de IX509Extension. IX509ExtensionCertificatePolicies a également les types de membres suivants :
Méthodes
L’interface IX509ExtensionCertificatePolicies possède ces méthodes.
| IX509ExtensionCertificatePolicies ::get_Policies Récupère une collection de stratégies de certificat. |
| IX509ExtensionCertificatePolicies ::InitializeDecode Initialise l’objet à partir d’un tableau d’octets encodé Distinguished Encoding Rules (DER) qui contient la valeur d’extension. |
| IX509ExtensionCertificatePolicies ::InitializeEncode Initialise l’objet à partir d’une collection ICertificatePolicies. |
Configuration requise
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge | Windows Vista [applications de bureau uniquement] |
| Serveur minimal pris en charge | Windows Server 2008 [applications de bureau uniquement] |
| Plateforme cible | Windows |
| En-tête | certenroll.h |
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour