原則模組
原則模組是接收憑證服務要求、評估這些要求的程式,並指定用來填滿這些要求之憑證的選擇性屬性。 原則模組會實作為 動態連結程式庫 , (DLL) 。 原則模組可以使用 ICertServerPolicy 介面來與憑證服務通訊。 憑證服務會透過直接 COM 呼叫與原則模組通訊,或者,如果模組不支援直接 COM 呼叫,則透過自動化。
原則模組可以檢視現有的憑證屬性和延伸模組,也可以檢視要求屬性和屬性。 此外,原則模組可能會設定或修改憑證主體的憑證延伸模組和 「NotBefore」 和 「NotAfter」 屬性,以及憑證主體的 相對辨別名稱 (RDN) ,受限於特定限制。 原則模組最終會發出或拒絕 憑證要求 ,或保留該要求擱置中。
撰寫自訂原則模組之前,請考慮使用其中一個預設原則模組。 憑證服務企業 憑證授權單位單位 (CA) 和獨立 CA 都隨附適當的預設原則模組。 企業和獨立預設原則模組都會發出憑證要求 (,雖然獨立預設原則是要暫止憑證,直到系統管理員手動發行憑證) 為止。 企業憑證授權單位單位應該只使用 Microsoft 提供的企業原則模組。
企業 CA 需要 Active Directory。 其預設原則模組的其他功能包括憑證範本、 存取控制清單 (ACL) 安全性,以確保要求只會發給已核發憑證的授權、預先定義的擴充功能,以及智慧卡網域登入憑證的支援。
預設獨立 CA 原則模組不支援預設企業模組的許多功能,但它支援智慧卡憑證的發行。 如需特定詳細資料,以及預設原則模組的最新功能,請參閱產品檔。
對於預設原則模組無法接受的安裝,憑證服務允許自訂原則模組。 如需詳細資訊,請參閱 撰寫自訂原則模組。