策略模块

策略模块是接收来自证书服务的请求、评估这些请求并指定为填充这些请求而生成的证书的可选属性的程序。 策略模块作为 动态链接库 (DLL) 实现。 策略模块可以使用 ICertServerPolicy 接口与证书服务通信。 证书服务通过直接 COM 调用或(如果该模块不支持直接 COM 调用)通过自动化与策略模块通信。

策略模块可以查看现有的证书属性和扩展,还可以查看请求属性和属性。 此外,策略模块可以设置或修改证书扩展、“NotBefore”和“NotAfter”属性,以及证书使用者的 RDN) (相对可分辨名称 ,但受限于某些限制。 策略模块最终会颁发或拒绝 证书请求 ,或将其保留为挂起。

在编写自定义策略模块之前,请考虑使用默认策略模块之一。 证书服务企业 证书颁发机构 (CA) 和独立 CA 附带相应的默认策略模块。 企业和独立默认策略模块都颁发证书请求 (尽管独立默认策略是保留证书挂起,直到管理员) 手动颁发证书。 企业证书颁发机构应仅使用 Microsoft 提供的企业策略模块。

企业 CA 需要 Active Directory。 其默认策略模块的附加功能包括证书模板、访问控制列表 (ACL) 证书模板的安全性,以确保仅向已颁发证书中添加的已授权预定义扩展发出请求,并支持智能卡域登录证书。

默认独立 CA 策略模块不支持默认企业模块的许多功能,但它支持颁发智能卡证书。 有关特定详细信息以及默认策略模块的最新功能,请参阅产品文档。

对于默认策略模块不可接受的安装,证书服务允许自定义策略模块。 有关详细信息,请参阅 编写自定义策略模块