IX509ExtensionCertificatePolicies 接口 (certenroll.h)
使用 IX509ExtensionCertificatePolicies 接口可以指定策略信息术语的集合,其中每个术语都包含对象标识符 (OID) 和可选的策略限定符。 单个策略术语由 ICertificatePolicy 对象定义。 以下语法显示了扩展的 抽象语法表示法 1 (ASN.1) 结构。 扩展值使用 可辨别编码规则 ( DER) 进行编码,并包含在证书请求中。
----------------------------------------------------------------------
-- CertificatePolicies
-- XCN_OID_CERT_POLICIES (2.5.29.32)
----------------------------------------------------------------------
CertificatePolicies ::= SEQUENCE OF PolicyInformation
PolicyInformation ::= SEQUENCE
{
policyIdentifier EncodedObjectID,
policyQualifiers PolicyQualifiers OPTIONAL
}
PolicyQualifiers ::= SEQUENCE OF PolicyQualifierInfo
PolicyQualifierInfo ::= SEQUENCE
{
policyQualifierId EncodedObjectID,
qualifier NOCOPYANY OPTIONAL
}
----------------------------------------------------------------------
-- UserNotice qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2)
----------------------------------------------------------------------
UserNotice ::= SEQUENCE
{
noticeRef, -- Not supported
explicitText -- Not supported
}
----------------------------------------------------------------------
-- Certification Practice Statement (CPS) qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1)
----------------------------------------------------------------------
CpsURLs ::= SEQUENCE OF SEQUENCE
{
url IA5String,
digestAlgorithmId, -- Not supported
digest -- Not supported
}
----------------------------------------------------------------------
-- CertificatePolicies95, XCN_OID_CERT_POLICIES_95 (2.5.29.3),
-- supports the deprecated definition of policies and qualifiers.
----------------------------------------------------------------------
CertificatePolicies95 ::= SEQUENCE OF PolicyQualifiers
当包含在颁发给最终实体的证书中时,此扩展标识颁发证书所依据的策略以及证书的使用目的。 具有特定策略要求的应用程序应将这些与证书中) OID (策略 对象标识符 集合进行比较。
当包含在 证书颁发机构 证书中时,此扩展会限制从证书颁发机构证书扩展的认证路径的一组策略。 如果证书颁发机构不想限制此设置,它可以断言 XCN_OID_ANY_CERT_POLICY (2.5.29.32.0) 。
Windows Server 2003 及更高版本的证书颁发机构支持此扩展。 以下策略是预定义的。 每个 OID 的 x.y.z 部分表示每个林唯一的随机生成的数值序列。 还可以创建自定义 OID 来表示自定义颁发策略。
| 策略 | 描述 |
|---|---|
| 所有颁发 (2.5.29.32.0) | 包含所有其他策略。 这通常仅分配给证书颁发机构证书。 OID 已XCN_OID_ANY_CERT_POLICY。 |
| 低保障 (1.3.6.1.4.1.311.21.8.x.y.z.1.400) | 指示颁发证书时没有额外的安全要求。 |
| 中等保障 (1.3.6.1.4.1.311.21.8.x.y.z.1.401) | 指示证书颁发具有其他安全要求。 例如,该策略可能要求证书主体实际出现在证书颁发机构之前。 |
| 高保障 (1.3.6.1.4.1.311.21.8.x.y.z.1.402) | 指示颁发具有最高安全性的证书。 例如,颁发密钥恢复代理证书可能需要额外的背景检查和指定审批者的数字签名,因为持有此证书的人员可以从证书颁发机构恢复 私钥 材料。 |
如果认为 OID 不足以完全标识策略,则可以使用策略限定符。 限定符是使用 IPolicyQualifier 接口定义的,可以通过将限定符添加到从 ICertificatePolicy 对象检索到的 IPolicyQualifiers 集合来与策略相关联。 Windows 证书颁发机构支持以下限定符。
| 值 | 说明 |
|---|---|
| XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2) | 包含要向依赖证书的任何用户显示的通知。 |
| XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1) | 标识指向 URI 的指针,该 URI 包含证书颁发机构定义的认证实践语句 (CPS) 。 |
若要将此扩展对象添加到 PKCS #10 请求或 CMC 请求,必须先将其添加到 IX509Extensions 集合,然后使用该集合初始化 IX509AttributeExtensions 对象。 有关详细信息,请参阅 PKCS #10 扩展 和 CMC 扩展 主题。
继承
IX509ExtensionCertificatePolicies 接口继承自 IX509Extension。 IX509ExtensionCertificatePolicies 也具有以下类型的成员:
方法
IX509ExtensionCertificatePolicies 接口具有这些方法。
| IX509ExtensionCertificatePolicies::get_Policies 检索证书策略的集合。 |
| IX509ExtensionCertificatePolicies::InitializeDecode 从可辨别编码规则 (DER 初始化对象,) 包含扩展值的编码字节数组。 |
| IX509ExtensionCertificatePolicies::InitializeEncode 初始化 ICertificatePolicies 集合中的 对象。 |
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows Vista [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2008 [仅限桌面应用] |
| 目标平台 | Windows |
| 标头 | certenroll.h |
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈