Интерфейс IX509ExtensionCertificatePolicies (certenroll.h)

  • Статья

Интерфейс IX509ExtensionCertificatePolicies позволяет указать коллекцию терминов сведений о политике, каждый из которых состоит из идентификатора объекта (OID) и необязательных квалификаторов политики. Один термин политики определяется объектом ICertificatePolicy . В следующем синтаксисе показана структура расширения Abstract Syntax Notation One (ASN.1). Значение расширения кодируется с помощью Distinguished Encoding Rules (DER) и включается в запрос сертификата.


----------------------------------------------------------------------
-- CertificatePolicies
-- XCN_OID_CERT_POLICIES (2.5.29.32)
----------------------------------------------------------------------

CertificatePolicies ::= SEQUENCE OF PolicyInformation

PolicyInformation ::= SEQUENCE 
{
   policyIdentifier    EncodedObjectID,
   policyQualifiers    PolicyQualifiers OPTIONAL
}

PolicyQualifiers ::=  SEQUENCE OF PolicyQualifierInfo

PolicyQualifierInfo ::= SEQUENCE 
{
   policyQualifierId   EncodedObjectID,
   qualifier           NOCOPYANY OPTIONAL
}


----------------------------------------------------------------------
-- UserNotice qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2)
----------------------------------------------------------------------

UserNotice ::= SEQUENCE 
{
   noticeRef,      -- Not supported
   explicitText    -- Not supported
}

----------------------------------------------------------------------
-- Certification Practice Statement (CPS) qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1)
----------------------------------------------------------------------

CpsURLs ::= SEQUENCE OF SEQUENCE 
{
   url                 IA5String,
   digestAlgorithmId,  -- Not supported
   digest              -- Not supported
}

----------------------------------------------------------------------
-- CertificatePolicies95, XCN_OID_CERT_POLICIES_95 (2.5.29.3),
-- supports the deprecated definition of policies and qualifiers.
----------------------------------------------------------------------

CertificatePolicies95 ::= SEQUENCE OF PolicyQualifiers

При добавлении в сертификат, выданный конечной сущности, это расширение определяет политики, в соответствии с которыми был выдан сертификат, и цели, для которых сертификат можно использовать. Приложения с определенными требованиями политики должны сравнивать их с коллекцией идентификаторов объектов политики (OID) в сертификате.

При включении в сертификат центра сертификации это расширение ограничивает набор политик для путей сертификации, распространяющихся из сертификата центра сертификации. Если центр сертификации не хочет ограничивать этот набор, он может подтвердить XCN_OID_ANY_CERT_POLICY (2.5.29.32.0).

Это расширение поддерживается в центрах сертификации Windows Server 2003 и более поздних версий. Следующие политики являются предопределенными. Часть x.y.z каждого OID представляет случайно сгенерированную числовую последовательность, уникальную для каждого леса. Вы также можете создавать пользовательские идентификаторы OID для представления пользовательских политик выдачи.

Политика Описание
Все выпуски(2.5.29.32.0) Содержит все остальные политики. Обычно он назначается только сертификатам центра сертификации. Идентификатор идентификатора XCN_OID_ANY_CERT_POLICY.
Low Assurance(1.3.6.1.4.1.311.21.8.x.y.z.1.400) Указывает, что сертификат выдан без дополнительных требований к безопасности.
Medium Assurance (1.3.6.1.4.1.311.21.8.x.y.z.1.401) Указывает, что выдача сертификата имеет дополнительные требования к безопасности. Например, политика может требовать физического отображения субъекта сертификата перед центром сертификации.
High Assurance (1.3.6.1.4.1.311.21.8.x.y.z.1.402) Указывает, что сертификат выдан с наивысшим уровнем безопасности. Например, для выдачи сертификата агента восстановления ключей может потребоваться дополнительная проверка данных и цифровая подпись от назначенного утверждающего лица, так как пользователь, владеющий этим сертификатом, может восстановить материал закрытого ключа из центра сертификации.
 

Квалификаторы политики можно использовать, если OID считается недостаточным для полной идентификации политики. Квалификаторы определяются с помощью интерфейса IPolicyQualifier и могут быть связаны с политикой путем добавления квалификаторов в коллекцию IPolicyQualifiers , полученную из объекта ICertificatePolicy . Центр сертификации Windows поддерживает следующие квалификаторы.

Значение Описание
XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE(1.3.6.1.5.5.7.2.2) Содержит уведомление, которое будет отображаться для любого пользователя, который использует сертификат.
XCN_OID_PKIX_POLICY_QUALIFIER_CPS(1.3.6.1.5.5.7.2.1) Определяет указатель на универсальный код ресурса (URI), содержащий заявление о сертификации (CPS), определенное центром сертификации.
 

Чтобы добавить этот объект расширения в запрос PKCS #10 или запрос CMC, необходимо сначала добавить его в коллекцию IX509Extensions и использовать коллекцию для инициализации объекта IX509AttributeExtensions . Дополнительные сведения см. в разделах Расширения PKCS #10 и Расширения CMC .

Наследование

Интерфейс IX509ExtensionCertificatePolicies наследуется от IX509Extension. IX509ExtensionCertificatePolicies также имеет следующие типы членов:

Методы

Интерфейс IX509ExtensionCertificatePolicies содержит следующие методы.

 
IX509ExtensionCertificatePolicies::get_Policies

Извлекает коллекцию политик сертификатов.
IX509ExtensionCertificatePolicies::InitializeDecode

Инициализирует объект из массива байтов в кодировке Distinguished Encoding Rules (DER), содержащего значение расширения.
IX509ExtensionCertificatePolicies::InitializeEncode

Инициализирует объект из коллекции ICertificatePolicies.

Требования

Требование Значение
Минимальная версия клиента Windows Vista [только классические приложения]
Минимальная версия сервера Windows Server 2008 [только классические приложения]
Целевая платформа Windows
Header certenroll.h

См. также раздел

API регистрации сертификатов

Расширения

IX509Extension