Modules de stratégie

Les modules de stratégie sont des programmes qui reçoivent des demandes des services de certificats, évaluent ces demandes et spécifient les propriétés facultatives des certificats générés pour remplir ces demandes. Un module de stratégie est implémenté en tant que bibliothèque de liens dynamiques (DLL). Un module de stratégie peut utiliser l’interface ICertServerPolicy pour communiquer avec Certificate Services. Certificate Services communique avec un module de stratégie par le biais d’appels COM directs ou, si le module ne prend pas en charge les appels COM directs, par le biais d’Automation.

Un module de stratégie peut afficher les propriétés et extensions de certificat existantes, et il peut également afficher les attributs de requête et les propriétés. En outre, un module de stratégie peut définir ou modifier des extensions de certificat et des propriétés « NotBefore » et « NotAfter », ainsi que les propriétés nom unique relatif (RDN) d’un objet de certificat, soumis à certaines restrictions. Un module de stratégie émet ou refuse finalement la demande de certificat ou la conserve en attente.

Avant d’écrire un module de stratégie personnalisé, envisagez d’utiliser l’un des modules de stratégie par défaut. L’entreprise des services de certificats autorité de certification (CA) et l’autorité de certification autonome sont fournies avec un module de stratégie par défaut approprié. Les modules de stratégie par défaut d’entreprise et autonomes émettent des demandes de certificat (même si la stratégie par défaut autonome doit contenir le certificat en attente jusqu’à ce qu’il soit émis manuellement par un administrateur). Une autorité de certification d’entreprise doit utiliser uniquement le module de stratégie d’entreprise fourni par Microsoft.

L’autorité de certification d’entreprise requiert Active Directory. Les fonctionnalités supplémentaires de son module de stratégie par défaut incluent des modèles de certificat, la sécurité de liste de contrôle d’accès (ACL) sur les modèles de certificat pour garantir que les demandes sont émises uniquement aux extensions autorisées et prédéfinies ajoutées au certificat émis et la prise en charge des certificats d’ouverture de session de domaine de carte à puce.

Le module de stratégie d’autorité de certification autonome par défaut ne prend pas en charge la plupart des fonctionnalités du module d’entreprise par défaut, mais il prend en charge l’émission de certificats de carte à puce. Pour plus d’informations, ainsi que les fonctionnalités les plus actuelles du module de stratégie par défaut, consultez la documentation du produit.

Pour les installations où le module de stratégie par défaut est inacceptable, Les services de certificats autorisent les modules de stratégie personnalisés. Pour plus d’informations, consultez Écriture de modules de stratégie personnalisées.