Интерфейс IX509ExtensionCertificatePolicies (certenroll.h)
Интерфейс IX509ExtensionCertificatePolicies позволяет указать коллекцию терминов сведений о политике, каждая из которых состоит из идентификатора объекта (OID) и необязательных квалификаторов политик. Один термин политики определяется объектом ICertificatePolicy. В следующем синтаксисе показана структура абстрактной нотации синтаксиса One (ASN.1) расширения. Значение расширения кодируется с помощью различающихся правил кодирования (DER) и включается в запрос на сертификат.
----------------------------------------------------------------------
-- CertificatePolicies
-- XCN_OID_CERT_POLICIES (2.5.29.32)
----------------------------------------------------------------------
CertificatePolicies ::= SEQUENCE OF PolicyInformation
PolicyInformation ::= SEQUENCE
{
policyIdentifier EncodedObjectID,
policyQualifiers PolicyQualifiers OPTIONAL
}
PolicyQualifiers ::= SEQUENCE OF PolicyQualifierInfo
PolicyQualifierInfo ::= SEQUENCE
{
policyQualifierId EncodedObjectID,
qualifier NOCOPYANY OPTIONAL
}
----------------------------------------------------------------------
-- UserNotice qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE (1.3.6.1.5.5.7.2.2)
----------------------------------------------------------------------
UserNotice ::= SEQUENCE
{
noticeRef, -- Not supported
explicitText -- Not supported
}
----------------------------------------------------------------------
-- Certification Practice Statement (CPS) qualifier
-- XCN_OID_PKIX_POLICY_QUALIFIER_CPS (1.3.6.1.5.5.7.2.1)
----------------------------------------------------------------------
CpsURLs ::= SEQUENCE OF SEQUENCE
{
url IA5String,
digestAlgorithmId, -- Not supported
digest -- Not supported
}
----------------------------------------------------------------------
-- CertificatePolicies95, XCN_OID_CERT_POLICIES_95 (2.5.29.3),
-- supports the deprecated definition of policies and qualifiers.
----------------------------------------------------------------------
CertificatePolicies95 ::= SEQUENCE OF PolicyQualifiers
При включении в сертификат, выданный конечной сущности, это расширение определяет политики, в которых был выдан сертификат, и цели, для которых можно использовать сертификат. Приложения, имеющие определенные требования к политике, должны сравнить их с коллекцией идентификаторов объектов политики (OID) в сертификате.
Если он включен в центр сертификации сертификат, этот расширение ограничивает набор политик для путей сертификации, расширяющих сертификат центра сертификации. Если центр сертификации не хочет ограничить этот набор, он может утверждать XCN_OID_ANY_CERT_POLICY (2.5.29.32.0).
Это расширение поддерживается в центрах сертификации Windows Server 2003 и более поздних версий. Следующие политики предопределяются. x.y.z части каждого OID представляет случайно созданную числовую последовательность, уникальную для каждого леса. Можно также создать пользовательские OID для представления пользовательских политик выдачи.
| Политика | Описание |
|---|---|
| Все выпуски(2.5.29.32.0) | Содержит все остальные политики. Обычно это назначается только сертификатам центра сертификации. The OID is XCN_OID_ANY_CERT_POLICY. |
| Low Assurance(1.3.6.1.4.1.311.21.8.x.y.z.1.400) | Указывает, что сертификат выдан без дополнительных требований безопасности. |
| Средняя гарантия (1.3.6.1.4.1.311.21.8.x.y.z.1.401) | Указывает, что выдача сертификата имеет дополнительные требования к безопасности. Например, для политики может потребоваться, чтобы субъект сертификата физически появился перед центром сертификации. |
| High Assurance (1.3.6.1.4.1.311.21.8.x.y.z.1.402) | Указывает, что сертификат выдан с наивысшей безопасностью. Например, для выдачи сертификата агента восстановления ключей могут потребоваться дополнительные проверки фона и цифровая подпись от указанного утверждающего, так как пользователь, держащий этот сертификат, может восстановить закрытый ключ материал из центра сертификации. |
Квалификаторы политик можно использовать, если OID считается недостаточным для полного определения политики. Квалификаторы определяются с помощью интерфейса IPolicyQualifier и могут быть связаны с политикой путем добавления квалификаторов в коллекцию IPolicyQualifiers, полученной из объекта ICertificatePolicyPolicy. Центр сертификации Windows поддерживает следующие квалификаторы.
| Ценность | Описание |
|---|---|
| XCN_OID_PKIX_POLICY_QUALIFIER_USERNOTICE(1.3.6.1.5.5.7.2.2. | Содержит уведомление, отображаемое для любого пользователя, который использует сертификат. |
| XCN_OID_PKIX_POLICY_QUALIFIER_CPS(1.3.6.1.5.5.7.2.1) | Определяет указатель на универсальный код ресурса (URI), содержащий оператор сертификации (CPS), определенный центром сертификации. |
Чтобы добавить этот объект расширения в запрос PKCS #10 или запрос CMC, необходимо сначала добавить его в коллекцию IX509Extensions и использовать коллекцию для инициализации объекта IX509AttributeExtensions. Дополнительные сведения см. в разделах расширения PKCS #10 и расширения CMC.
Наследство
Интерфейс IX509ExtensionCertificatePolicies наследует от IX509Extension. IX509ExtensionCertificatePolicies также имеет следующие типы элементов:
Методика
Интерфейс IX509ExtensionCertificatePolicies имеет эти методы.
|
IX509ExtensionCertificatePolicies::get_Policies Извлекает коллекцию политик сертификатов. |
|
IX509ExtensionCertificatePolicies::InitializeDecode Инициализирует объект из закодированного массива байтов, содержащего значение расширения. |
|
IX509ExtensionCertificatePolicies::InitializeEncode Инициализирует объект из коллекции ICertificatePolicies. |
Требования
| Требование | Ценность |
|---|---|
| минимальные поддерживаемые клиентские | Windows Vista [только классические приложения] |
| минимальный поддерживаемый сервер | Windows Server 2008 [только классические приложения] |
| целевая платформа | Виндоус |
| заголовка | certenroll.h |