ポリシー モジュール

ポリシー モジュールは、Certificate Services から要求を受け取り、それらの要求を評価し、これらの要求を満たすために構築された証明書のオプションのプロパティを指定するプログラムです。 ポリシー モジュールは、 ダイナミック リンク ライブラリ (DLL) として実装されます。 ポリシー モジュールでは、 ICertServerPolicy インターフェイスを使用して証明書サービスと通信できます。 Certificate Services は、直接 COM 呼び出しによってポリシー モジュールと通信します。または、モジュールが直接 COM 呼び出しをサポートしていない場合は Automation を使用して通信します。

ポリシー モジュールでは、既存の証明書のプロパティと拡張機能を表示したり、要求の属性とプロパティを表示したりすることもできます。 さらに、ポリシー モジュールでは、証明書の拡張機能と "NotBefore" プロパティと "NotAfter" プロパティ、および証明書サブジェクトの 相対識別名 (RDN) を設定または変更できます。これには、特定の制限が適用されます。 ポリシー モジュールは、最終的に 証明書要求 を発行または拒否するか、保留中に保持します。

カスタム ポリシー モジュールを作成する前に、既定のポリシー モジュールのいずれかを使用することを検討してください。 Certificate Services エンタープライズ 証明機関 (CA) とスタンドアロン CA の両方に、適切な既定のポリシー モジュールが付属しています。 エンタープライズとスタンドアロンの両方の既定のポリシー モジュールは、証明書要求を発行します (ただし、スタンドアロンの既定のポリシーでは、管理者によって手動で発行されるまで、保留中の証明書を保持します)。 エンタープライズ証明機関では、Microsoft 提供のエンタープライズ ポリシー モジュールのみを使用する必要があります。

エンタープライズ CA には Active Directory が必要です。 既定のポリシー モジュールの追加機能には、証明書テンプレート、証明書テンプレートのアクセス制御リスト (ACL) セキュリティが含まれます。これにより、発行された証明書に追加された承認された定義済みの拡張機能のみに要求が発行され、スマート カード ドメイン ログオン証明書がサポートされます。

既定のスタンドアロン CA ポリシー モジュールでは、既定のエンタープライズ モジュールの機能の多くはサポートされていませんが、スマート カード証明書の発行はサポートされています。 特定の詳細と、既定のポリシー モジュールの最新の機能については、製品のドキュメントを参照してください。

既定のポリシー モジュールが許容できないインストールの場合、Certificate Services ではカスタム ポリシー モジュールが許可されます。 詳細については、「 カスタム ポリシー モジュールの作成」を参照してください。