Udostępnij za pośrednictwem

Moduły zasad

  • Artykuł

Moduły zasad to programy, które odbierają żądania z usług certyfikatów, oceniają te żądania i określają opcjonalne właściwości certyfikatów utworzonych do wypełniania tych żądań. Moduł zasad jest implementowany jako biblioteka biblioteki dynamicznej (DLL). Moduł zasad może używać interfejsu ICertServerPolicy do komunikowania się z usługami certyfikatów. Usługi certyfikatów komunikują się z modułem zasad za pomocą bezpośrednich wywołań COM lub, jeśli moduł nie obsługuje bezpośrednich wywołań COM, za pomocą automatyzacji.

Moduł zasad może wyświetlać istniejące właściwości i rozszerzenia certyfikatu, a także wyświetlać atrybuty i właściwości żądania. Ponadto moduł zasad może ustawiać lub modyfikować rozszerzenia certyfikatów oraz właściwości "NotBefore" i "NotAfter", a także względną nazwę wyróżniającą (RDN) podmiotu certyfikatu, z zastrzeżeniem pewnych ograniczeń. Moduł zasad ostatecznie wystawia lub odrzuca żądanie certyfikatu lub oczekuje na nie.

Przed napisaniem modułu zasad niestandardowych rozważ użycie jednego z domyślnych modułów zasad. Zarówno przedsiębiorstwo usług certyfikatów urzędem certyfikacji (CA) i autonomiczny urząd certyfikacji dostarczane z odpowiednim domyślnym modułem zasad. Zarówno przedsiębiorstwa, jak i autonomiczne domyślne moduły zasad wystawiają żądania certyfikatów (chociaż autonomiczne zasady domyślne mają przechowywać certyfikat oczekujący do momentu ręcznego wystawienia go przez administratora). Urząd certyfikacji przedsiębiorstwa powinien używać tylko udostępnionego przez firmę Microsoft modułu zasad przedsiębiorstwa.

Urząd certyfikacji przedsiębiorstwa wymaga usługi Active Directory. Dodatkowe funkcje domyślnego modułu zasad obejmują szablony certyfikatów, listy kontroli dostępu (ACL) zabezpieczeń w szablonach certyfikatów w celu zapewnienia, że żądania są wystawiane tylko dla tych autoryzowanych, wstępnie zdefiniowanych rozszerzeń dodanych do wystawionego certyfikatu i obsługi certyfikatów logowania do domeny karty inteligentnej.

Domyślny autonomiczny moduł zasad urzędu certyfikacji nie obsługuje wielu funkcji domyślnego modułu przedsiębiorstwa, ale obsługuje wystawianie certyfikatów kart inteligentnych. Aby uzyskać szczegółowe informacje, a także najbardziej aktualne możliwości domyślnego modułu zasad, zobacz dokumentację produktu.

W przypadku instalacji, w których domyślny moduł zasad jest niedopuszczalny, usługi certyfikatów zezwalają na niestandardowe moduły zasad. Aby uzyskać więcej informacji, zobacz Pisanie niestandardowych modułów zasad.