策略模块
策略模块是接收来自证书服务的请求、评估这些请求并指定为填充这些请求而生成的证书的可选属性的程序。 策略模块作为 动态链接库(DLL)实现。 策略模块可以使用 ICertServerPolicy 接口与证书服务通信。 证书服务通过直接 COM 调用与策略模块通信,或者,如果模块不支持直接 COM 调用,则通过自动化。
策略模块可以查看现有的证书属性和扩展,还可以查看请求属性和属性。 此外,策略模块可以设置或修改证书主体的证书扩展和“NotBefore”和“NotAfter”属性,以及证书使用者的 相对可分辨名称(RDN),但存在某些限制。 策略模块最终会颁发或拒绝 证书请求 或将其保留挂起。
在编写自定义策略模块之前,请考虑使用一个默认策略模块。 证书服务企业 证书颁发机构(CA)和独立 CA 附带适当的默认策略模块。 企业和独立默认策略模块都颁发证书请求(尽管独立默认策略是将证书保留挂起,直到管理员手动颁发证书)。 企业证书颁发机构应仅使用Microsoft提供的企业策略模块。
企业 CA 需要 Active Directory。 其默认策略模块的其他功能包括证书模板、访问控制列表(ACL)安全性的证书模板,以确保仅向已授权的、添加到颁发的证书的预定义扩展以及智能卡域登录证书的支持颁发请求。
默认独立 CA 策略模块不支持默认企业模块的许多功能,但它支持颁发智能卡证书。 有关特定详细信息以及默认策略模块的最新功能,请参阅产品文档。
对于默认策略模块不能接受的安装,证书服务允许自定义策略模块。 有关详细信息,请参阅 编写自定义策略模块。