IX509ExtensionCertificatePolicies 介面 (certenroll.h)
IX509ExtensionCertificatePolicies 介面可讓您指定原則資訊詞彙的集合,每個詞彙都包含物件標識碼 (OID) 和選擇性原則限定符。 單一原則字詞是由 ICertificatePolicy 物件所定義。 下列語法顯示延伸模組的 抽象語法表示法一 (ASN.1) 結構。 擴充值會使用 可辨別編碼規則 ( DER) 編碼,並包含在憑證要求中。
----------------------------------------------------------------------
-- CertificatePolicies
-- XCN_OID_CERT_POLICIES (2.5.29.32)
----------------------------------------------------------------------
CertificatePolicies ::= SEQUENCE OF PolicyInformation
PolicyInformation ::= SEQUENCE
{
policyIdentifier EncodedObjectID,
policyQualifiers PolicyQualifiers OPTIONAL
}
PolicyQualifiers ::= SEQUENCE OF PolicyQualifierInfo
PolicyQualifierInfo ::= SEQUENCE
{
policyQualifierId EncodedObjectID,
qualifier NOCOPYANY OPTIONAL
}
----------------------------------------------------------------------
-- UserNotice qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2)
----------------------------------------------------------------------
UserNotice ::= SEQUENCE
{
noticeRef, -- Not supported
explicitText -- Not supported
}
----------------------------------------------------------------------
-- Certification Practice Statement (CPS) qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1)
----------------------------------------------------------------------
CpsURLs ::= SEQUENCE OF SEQUENCE
{
url IA5String,
digestAlgorithmId, -- Not supported
digest -- Not supported
}
----------------------------------------------------------------------
-- CertificatePolicies95, XCN_OID_CERT_POLICIES_95 (2.5.29.3),
-- supports the deprecated definition of policies and qualifiers.
----------------------------------------------------------------------
CertificatePolicies95 ::= SEQUENCE OF PolicyQualifiers
當包含在發行至結束實體的憑證中時,此延伸模組會識別發行憑證的原則,以及可使用憑證的目的。 具有特定原則需求的應用程式應該將這些標識碼與憑證中原則 對象標識碼 的集合 (OID) 進行比較。
當包含在 證書頒發機構單位 憑證中時,此延伸模組會限制從證書頒發機構單位憑證延伸之認證路徑的原則集。 如果證書頒發機構單位不想要限制此集合,它可以判斷 提示XCN_OID_ANY_CERT_POLICY ( 2.5.29.32.0) 。
Windows Server 2003 和更新版本的證書頒發機構單位支援此延伸模組。 下列原則已預先定義。 每個 OID 的 x.y.z 部分代表每個樹系唯一的隨機產生的數值序列。 您也可以建立自定義 OID 來代表自定義發行原則。
| 原則 | 描述 |
|---|---|
| 所有發行 (2.5.29.32.0) | 包含所有其他原則。 這通常只會指派給證書頒發機構單位憑證。 OID XCN_OID_ANY_CERT_POLICY。 |
| 低保證 (1.3.6.1.4.1.311.21.8.x.y.z.1.400) | 表示憑證未發出任何其他安全性需求。 |
| 中型保證 (1.3.6.1.4.1.311.21.8.x.y.z.1.401) | 表示憑證發行具有額外的安全性需求。 例如,原則可能會要求憑證主體實際出現在證書頒發機構單位之前。 |
| 高保證 (1.3.6.1.4.1.311.21.8.x.y.z.1.402) | 表示憑證是以最高安全性發出。 例如,發行金鑰修復代理程式憑證可能需要額外的背景檢查和指定核准者的數位簽名,因為擁有此憑證的人員可以從證書頒發機構單位復原 私鑰 數據。 |
當 OID 被視為不足以完整識別原則時,可以使用原則限定符。 限定符是使用 IPolicyQualifier 介面來定義,而且可以將限定符新增至從 ICertificatePolicy 物件擷取的 IPolicyQualifiers 集合,以與原則相關聯。 Windows 證書頒發機構單位支援下列限定符。
| 值 | Description |
|---|---|
| XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2) | 包含要向依賴憑證的任何用戶顯示的通知。 |
| XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1) | 識別 URI 的指標,其中包含證書頒發機構單位所定義的認證練習聲明 (CPS) 。 |
若要將此擴充物件新增至 PKCS #10 要求或 CMC 要求,您必須先將它新增至 IX509Extensions 集合,並使用集合初始化 IX509AttributeExtensions 物件。 如需詳細資訊,請參閱 PKCS #10 延伸模組 和 CMC 擴充 功能主題。
繼承
IX509ExtensionCertificatePolicies 介面繼承自 IX509Extension。 IX509ExtensionCertificatePolicies 也有下列類型的成員:
方法
IX509ExtensionCertificatePolicies 介面具有這些方法。
| IX509ExtensionCertificatePolicies::get_Policies 擷取憑證原則的集合。 |
| IX509ExtensionCertificatePolicies::InitializeDecode 從包含擴充值的 可辨別編碼規則 (DER) 編碼位元組陣列初始化物件。 |
| IX509ExtensionCertificatePolicies::InitializeEncode 從 ICertificatePolicies 集合初始化 物件。 |
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | Windows Vista [僅限傳統型應用程式] |
| 最低支援的伺服器 | Windows Server 2008 [僅限傳統型應用程式] |
| 目標平台 | Windows |
| 標頭 | certenroll.h |
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應