原則模組是接收來自憑證服務要求、評估這些要求的程式,並指定用來填入這些要求之憑證的選擇性屬性。 原則模組會實作為 動態連結庫 (DLL)。 原則模組可以使用 ICertServerPolicy 介面來與憑證服務通訊。 憑證服務會透過直接 COM 呼叫與原則模塊通訊,或者,如果模組不支援直接 COM 呼叫,則透過自動化。
原則模組可以檢視現有的憑證屬性和延伸模組,也可以檢視要求屬性和屬性。 此外,原則模組可以設定或修改憑證主體的憑證延伸模組和 “NotBefore” 和 “NotAfter” 屬性,以及憑證主體的 相對辨別名稱 (RDN),但受限於某些限制。 原則模組最終會發出或拒絕 憑證要求, 或保留它擱置中。
撰寫自定義原則模組之前,請考慮使用其中一個默認原則模組。 憑證服務企業 證書頒發機構單位 (CA) 和獨立 CA 隨附適當的默認原則模組。 企業和獨立默認原則模組都會發出憑證要求(雖然獨立預設原則是保留擱置的憑證,直到系統管理員手動發行為止)。 企業證書頒發機構單位應該只使用Microsoft提供的企業原則模組。
企業 CA 需要 Active Directory。 其預設原則模組的其他功能包括證書範本、訪問控制清單 (ACL) 安全性,以確保要求只會核發給已核發憑證的已授權、預先定義的擴充功能,以及智慧卡網域登入憑證的支援。
默認獨立 CA 原則模組不支援預設企業模組的許多功能,但支援發行智慧卡憑證。 如需特定詳細數據,以及默認原則模組的最新功能,請參閱產品檔。
對於默認原則模組無法接受的安裝,憑證服務允許自定義原則模組。 如需詳細資訊,請參閱 撰寫自定義原則模組。