Модули политики
Модули политики — это программы, которые получают запросы от служб сертификатов, оценивают эти запросы и указывают необязательные свойства сертификатов, созданных для заполнения этих запросов. Модуль политики реализуется как библиотека динамической компоновки (DLL). Модуль политики может использовать интерфейс ICertServerPolicy для взаимодействия со службами сертификатов. Службы сертификатов обмениваются данными с модулем политики с помощью прямых вызовов COM или, если модуль не поддерживает прямые вызовы COM, с помощью службы автоматизации.
Модуль политики может просматривать существующие свойства и расширения сертификата, а также атрибуты и свойства запроса. Кроме того, модуль политики может задавать или изменять расширения сертификатов, свойства NotBefore и NotAfter, а также относительное различающееся имя (RDN) субъекта сертификата с определенными ограничениями. Модуль политики в конечном итоге выдает или отклоняет запрос сертификата или удерживает его в ожидании.
Перед написанием пользовательского модуля политики рассмотрите возможность использования одного из модулей политики по умолчанию. И корпоративный центр сертификации служб сертификатов, и автономный ЦС поставляются с соответствующим модулем политики по умолчанию. Как корпоративные, так и автономные модули политики по умолчанию выдают запросы на сертификаты (хотя автономная политика по умолчанию заключается в том, чтобы хранить сертификат в ожидании, пока он не будет выдан администратором вручную). Центр сертификации предприятия должен использовать только предоставленный корпорацией Майкрософт модуль корпоративной политики.
Для ЦС предприятия требуется Active Directory. Дополнительные функции модуля политики по умолчанию включают в себя шаблоны сертификатов, безопасность списка управления доступом (ACL) в шаблонах сертификатов, чтобы гарантировать выдачу запросов только к авторизованным, предопределенным расширениям, добавленным в выданный сертификат, и поддержка интеллектуальных карта сертификатов входа в домен.
Модуль политики автономного ЦС по умолчанию не поддерживает многие функции корпоративного модуля по умолчанию, но поддерживает выдачу сертификатов смарт-карта. Дополнительные сведения, а также самые актуальные возможности модуля политики по умолчанию см. в документации по продукту.
Для установок, где модуль политики по умолчанию недопустим, службы сертификатов разрешают пользовательские модули политики. Дополнительные сведения см. в разделе Написание пользовательских модулей политики.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по