CAPolicy.inf 语法

  • 项目

适用于:Windows Server 2016

CAPolicy.inf 是一个配置文件,用于定义应用于根 CA 证书和根 CA 颁发的所有证书的扩展、约束和其他配置设置。 在开始根 CA 的安装例程之前,必须在主机服务器上安装 CAPolicy.inf 文件。 若要修改根 CA 的安全限制,必须续订根证书,并且必须在续订过程开始之前在服务器上安装更新的 CAPolicy.inf 文件。

CAPolicy.inf 是:

  • 由管理员手动创建和定义的文件

  • 在创建根和从属 CA 证书期间会用到的文件

  • 在签名并颁发证书的签名 CA(不是授予请求的 CA)上定义的文件

创建 CAPolicy.inf 文件后,必须先将其复制到服务器的 %systemroot% 文件夹中,然后才能安装 ADCS 或续订 CA 证书。

使用 CAPolicy.inf 便可指定和配置各种 CA 属性和选项。 以下部分介绍用于创建适合特定需求的 .inf 文件的所有选项。

CAPolicy.inf 文件结构

以下术语用于描述 .inf 文件结构:

  • 段 – 是该文件中涵盖一组逻辑键的部分。 .inf 文件中的段名称显示在方括号中。 许多(但并非全部)段用于配置证书扩展。

  • 键 – 是条目的名称,显示在等号的左侧。

  • 值 – 是参数,显示在等号右侧。

在下面的示例中,[Version] 是段,Signature 是键,"$Windows NT$" 是值。

示例:

[Version]
Signature="$Windows NT$"

版本

将文件标识为 .inf 文件。 Version 是唯一一个必需段,并且必须位于 CAPolicy.inf 文件的开头。

PolicyStatementExtension

列出组织已定义的策略,以及这些策略是可选还是强制性策略。 多个策略之间以逗号分隔。 这些名称在特定部署环境中具有实际意义,或者与用于检查是否存在这些策略的自定义应用程序相关。

对于定义的每个策略,必须具有定义该特定策略设置的段。 对于每个策略,需要提供用户定义的对象标识符 (OID),以及要显示为策略语句的文本或指向策略语句的 URL 指针。 该 URL 可以采用 HTTP、FTP 或 LDAP URL 的形式。

如果要在策略语句中使用描述性文本,CAPolicy.inf 的后续三行将如下所示:

[InternalPolicy]
OID=1.1.1.1.1.1.1
Notice="Legal policy statement text"

如果要使用 URL 来托管 CA 策略语句,则后续三行将如下所示:

[InternalPolicy]
OID=1.1.1.1.1.1.2
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp

此外,还应注意:

  • 支持包含多个 URL 和通知键。

  • 支持策略同一个段中同时包含通知和 URL 键。

  • 带空格的 URL 或带空格的文本必须用引号括起来, 无论 URL 键显示在哪个段中,都是如此。

以下是策略一个段中同时包含多个通知和 URL 的示例:

[InternalPolicy]
OID=1.1.1.1.1.1.1
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
URL=ftp://ftp.wingtiptoys.com/pki/policies/legalpolicy.asp
Notice="Legal policy statement text"

CRLDistributionPoint

可以在 CAPolicy.inf 中为根 CA 证书指定 CRL 分发点 (CDP)。 安装 CA 后,可以配置 CA 颁发的每个证书中的 CDP URL。 根 CA 证书显示了在 CAPolicy.inf 文件此段中指定的 URL。

[CRLDistributionPoint]
URL=http://pki.wingtiptoys.com/cdp/WingtipToysRootCA.crl

CRL 分发点 (CDP) 支持:

  • HTTP
  • 文件 URL
  • LDAP URL
  • 多个 URL

重要

CRL 分发点 (CDP) 不支持 HTTPS URL。

  • 带空格的 URL 必须用引号括起来。

  • 如果没有指定 URL(即,如果文件中存在 [CRLDistributionPoint] 段,但为空),则根 CA 证书中会省略 CRL 分发点扩展。 设置根 CA 时,最好这样做。 Windows 不会对根 CA 证书执行吊销检查,因此根 CA 证书中的 CDP 扩展是多余的。

  • CA 可以发布到 FILE UNC,例如,可以发布到共享,即客户端通过 HTTP 进行检索的网站的文件夹。

  • 请仅在要设置根 CA 或续订根 CA 证书时使用此段。 CA 可确定从属 CA CDP 扩展。

AuthorityInformationAccess

可以在 CAPolicy.inf 中为根 CA 证书指定颁发机构信息访问点。

[AuthorityInformationAccess]
URL=http://pki.wingtiptoys.com/Public/myCA.crt

有关授权信息访问段的一些其他说明:

  • 支持多个 URL。

  • 支持 HTTP、FTP、LDAP 和 FILE URL。 不支持 HTTPS URL。

  • 仅当要设置根 CA 或续订根 CA 证书时,才使用此段。 从属 CA AIA 扩展由颁发从属 CA 证书的 CA 确定。

  • 带空格的 URL 必须用引号括起来。

  • 如果没有指定 URL(即,如果文件中存在 [AuthorityInformationAccess] 段,但为空),则根 CA 证书中会省略颁发机构信息访问扩展。 同样,当没有比根 CA 更高级别的颁发机构需要由其证书链接引用时,这将是首选设置。

certsrv_Server

CAPolicy.inf 的 [certsrv_server] 段是可选的。 [certsrv_server] 用于指定要续订或安装的 CA 的续订键长度、续订有效期,以及证书吊销列表 (CRL) 有效期。 此段中的键均非必需键, 其中许多设置的默认值足以满足大多数需求,可在 CAPolicy.inf 文件中省略。 或者,可在安装 CA 后更改其中许多设置。

示例如下所示:

[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0

RenewalKeyLength 仅设置续订键大小。 仅在续订 CA 证书期间生成新的键对时,才使用此设置。 安装 CA 时设置初始 CA 证书的键大小。

使用新键对续订 CA 证书时,可以增加或减少键长度。 例如,如果已将根 CA 键大小设置为 4096 或更高字节,但发现 Java 应用或网络设备仅支持 2048 字节的键大小, 无论增加还是减少此大小,都必须重新颁发该 CA 颁发的所有证书。

在续订旧的根 CA 证书时,RenewalValidityPeriod 和 RenewalValidityPeriodUnits 可建立新的根 CA 证书的生存期。 它仅适用于根 CA, 从属 CA 的证书生存期由其上级决定。 RenewalValidityPeriod 可具有以下值:“小时”、“天”、“周”、“月”和“年”。

CRLPeriod 和 CRLPeriodUnits 可建立基本 CRL 的有效期。 CRLPeriod 可具有以下值:“小时”、“天”、“周”、“月”和“年”。

CRLDeltaPeriod 和 CRLDeltaPeriodUnits 可建立增量 CRL 的有效期。 CRLDeltaPeriod 可具有以下值:“小时”、“天”、“周”、“月”和“年”。

安装 CA 后,可以配置所有这些设置:

Certutil -setreg CACRLPeriod Weeks
Certutil -setreg CACRLPeriodUnits 1
Certutil -setreg CACRLDeltaPeriod Days
Certutil -setreg CACRLDeltaPeriodUnits 1

请记得重启 Active Directory 证书服务,使任何更改生效。

LoadDefaultTemplates 仅在安装企业 CA 期间适用。 此设置(true 或 False,或者 1 或 0)指示是否使用任何默认模板配置 CA。

在 CA 的默认安装中,系统会将默认证书模板的子集添加到证书颁发机构管理单元的“证书模板”文件夹中。 这意味着,在安装角色后启动 AD CS 服务时,具有足够权限的用户或计算机可以立即注册证书。

你可能不想在安装 CA 后立即颁发任何证书,因此可以使用 LoadDefaultTemplates 设置来防止系统将默认模板添加到企业 CA。 如果 CA 上没有配置任何模板,它便无法颁发证书。

AlternateSignatureAlgorithm 可将 CA 配置为支持 CA 证书和证书请求的 PKCS#1 V2.1 签名格式。 在根 CA 上将它设置为 1 时,CA 证书将包含 PKCS#1 V2.1 签名格式。 在从属 CA 上设置时,从属 CA 将创建包含 PKCS#1 V2.1 签名格式的证书请求。

ForceUTF8 可将“使用者”和“颁发者”可分辨名称中的相对可分辨名称 (RDN) 的默认编码更改为 UTF-8。 它仅影响支持 UTF-8 的 RDN,例如 RFC 定义为目录字符串类型的 RDN。 例如,域组件 (DC) 的 RDN 支持 IA5 或 UTF-8 编码,而国家/地区 RDN (C) 仅支持可打印字符串编码。 因此,ForceUTF8 指令会影响 DC RDN,但不会影响 C RDN。

EnableKeyCounting 可将 CA 配置为在每次使用 CA 的签名密钥时递增计数器。 除非具有硬件安全模块 (HSM) 和关联的加密服务提供程序(CSP,支持密钥计数),否则不要启用此设置。 Microsoft Strong CSP 或 Microsoft 软件密钥存储提供程序 (KSP) 不支持密钥计数。

创建 CAPolicy.inf 文件

在安装 AD CS 之前,请使用特定于部署的设置来配置 CAPolicy.inf 文件。

先决条件:你必须是管理员组的成员。

  1. 在计划安装 AD CS 的计算机上,打开 Windows PowerShell,键入“notepad.exe”,然后按 ENTER

  2. 输入以下文本:

    [Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
[AuthorityInformationAccess]

  3. 选择“文件”,然后选择“另存为”

  4. 导航到 %systemroot% 文件夹

  5. 确保设置了以下选项:

    • 将“文件名”设置为“CAPolicy.inf”

    • “保存类型” 设置为“CAPolicy.inf” “所有文件”

    • 编码ANSI

  6. 选择“保存”。

  7. 当系统提示你覆盖文件时,选择“是”。

    Save As location for the CAPolicy.inf file

    注意

    确保以 inf 扩展名保存 CAPolicy.inf。 如果不在文件名末尾特意键入“.inf” 并按描述选择各个选项,文件将另存为文本文件,并在 CA 安装期间不得使用。

  8. 关闭记事本。

重要

在 CAPolicy.inf 中,你可以看到有一行指定 URL https://pki.corp.contoso.com/pki/cps.txt。 CAPolicy.inf 的“内部策略”部分只会作为你会如何指定证书实行声明 (CPS) 的位置的示例出现。 本指南未提供有关如何创建证书实行声明 (CPS) 的说明。