Partager via


Modules de stratégie

Les modules de stratégie sont des programmes qui reçoivent des demandes des services de certificats, évaluent ces demandes et spécifient les propriétés facultatives des certificats qui sont créés pour répondre à ces demandes. Un module de stratégie est implémenté en tant que bibliothèque de liens dynamiques (DLL). Un module de stratégie peut utiliser l’interface ICertServerPolicy pour communiquer avec les services de certificat. Certificate Services communique avec un module de stratégie au moyen d’appels COM directs ou, si le module ne prend pas en charge les appels COM directs, au moyen d’Automation.

Un module de stratégie peut afficher les propriétés et extensions de certificat existantes, et il peut également afficher les attributs et propriétés de requête. En outre, un module de stratégie peut définir ou modifier des extensions de certificat et des propriétés « NotBefore » et « NotAfter », ainsi que le nom unique relatif (RDN) d’un objet de certificat, sous réserve de certaines restrictions. Un module de stratégie émet ou refuse la demande de certificat ou la maintient en attente.

Avant d’écrire un module de stratégie personnalisée, envisagez d’utiliser l’un des modules de stratégie par défaut. L’autorité de certification d’entreprise et l’autorité de certification autonome des services de certificat sont livrées avec un module de stratégie par défaut approprié. Les modules de stratégie par défaut d’entreprise et autonomes émettent des demandes de certificat (bien que la stratégie par défaut autonome consiste à conserver le certificat en attente jusqu’à ce qu’il soit émis manuellement par un administrateur). Une autorité de certification d’entreprise doit utiliser uniquement le module de stratégie d’entreprise fourni par Microsoft.

L’autorité de certification d’entreprise nécessite Active Directory. Les fonctionnalités supplémentaires de son module de stratégie par défaut incluent les modèles de certificat, la sécurité de la liste de contrôle d’accès (ACL) sur les modèles de certificat pour garantir que les demandes sont émises uniquement pour les extensions autorisées et prédéfinies ajoutées au certificat émis et la prise en charge des certificats d’ouverture de session de domaine smart carte.

Le module de stratégie d’autorité de certification autonome par défaut ne prend pas en charge de nombreuses fonctionnalités du module d’entreprise par défaut, mais il prend en charge l’émission de certificats smart carte. Pour plus d’informations, ainsi que pour connaître les fonctionnalités les plus actuelles du module de stratégie par défaut, consultez la documentation du produit.

Pour les installations où le module de stratégie par défaut est inacceptable, les services de certificats autorisent les modules de stratégie personnalisés. Pour plus d’informations, consultez Écriture de modules de stratégie personnalisés.