ポリシー モジュール

ポリシー モジュールは、証明書サービスから要求を受信し、それらの要求を評価し、これらの要求を満たすために構築された証明書のオプションのプロパティを指定するプログラムです。 ポリシー モジュールは、ダイナミック リンク ライブラリ (DLL) として実装されます。 ポリシー モジュールは、ICertServerPolicy インターフェイスを使用して証明書サービスと通信できます。 Certificate Services は、直接 COM 呼び出しを使用してポリシー モジュールと通信するか、モジュールが直接 COM 呼び出しをサポートしていない場合は Automation を使用して通信します。

ポリシー モジュールは、既存の証明書のプロパティと拡張機能を表示し、要求の属性とプロパティを表示することもできます。 さらに、ポリシー モジュールでは、証明書の拡張機能と "NotBefore" プロパティと "NotAfter" プロパティ、および証明書サブジェクトの 相対識別名 (RDN) を設定または変更できます。一部の制限が適用されます。 ポリシー モジュールは最終的に、証明書要求 発行または拒否するか、保留中の状態にします。

カスタム ポリシー モジュールを作成する前に、既定のポリシー モジュールのいずれかを使用することを検討してください。 Certificate Services エンタープライズ 証明機関 (CA) とスタンドアロン CA の両方に、適切な既定のポリシー モジュールが付属しています。 企業とスタンドアロンの両方の既定のポリシー モジュールが証明書要求を発行します (ただし、スタンドアロンの既定のポリシーは、管理者によって手動で発行されるまで、保留中の証明書を保持することです)。 エンタープライズ証明機関は、Microsoft が提供するエンタープライズ ポリシー モジュールのみを使用する必要があります。

エンタープライズ CA には Active Directory が必要です。 既定のポリシー モジュールの追加機能には、証明書テンプレート、アクセス制御リスト (ACL) のセキュリティが含まれます。これにより、発行された証明書に追加された承認された定義済みの拡張機能のみに要求が発行され、スマート カード ドメイン ログオン証明書がサポートされます。

既定のスタンドアロン CA ポリシー モジュールでは、既定のエンタープライズ モジュールの機能の多くはサポートされていませんが、スマート カード証明書の発行はサポートされています。 特定の詳細と、既定のポリシー モジュールの最新の機能については、製品のドキュメントを参照してください。

既定のポリシー モジュールが許容できないインストールの場合、Certificate Services ではカスタム ポリシー モジュールが許可されます。 詳細については、「カスタム ポリシー モジュールの作成」を参照してください。