原則模組

原則模組是接收來自憑證服務要求、評估這些要求的程式,並指定用來填入這些要求之憑證的選擇性屬性。 原則模組會實作為 動態連結程式庫 , (DLL) 。 原則模組可以使用 ICertServerPolicy 介面來與憑證服務通訊。 憑證服務會透過直接 COM 呼叫來與原則模組通訊,或者,如果模組不支援直接 COM 呼叫,則表示自動化。

原則模組可以檢視現有的憑證屬性和延伸模組,也可以檢視要求屬性和屬性。 此外,原則模組也可以設定或修改憑證延伸模組和 「NotBefore」 和 「NotAfter」 屬性,以及憑證主體的 相對辨別名稱 (RDN) ,受限於特定限制。 原則模組最終會發出或拒絕 憑證要求 ,或將其保留擱置中。

撰寫自訂原則模組之前,請考慮使用其中一個預設原則模組。 憑證服務企業 憑證授權單位單位 (CA) 和獨立 CA 都會隨附適當的預設原則模組。 企業和獨立預設原則模組都會發出憑證要求 (,雖然獨立預設原則是保留擱置中的憑證,直到系統管理員手動發行) 為止。 企業憑證授權單位單位應該只使用 Microsoft 提供的企業原則模組。

企業 CA 需要 Active Directory。 其預設原則模組的其他功能包括憑證範本、 存取控制清單 (ACL) 安全性,以確保只會對已核發憑證的授權、預先定義的延伸模組發出要求,以及智慧卡網域登入憑證的支援。

預設獨立 CA 原則模組不支援預設企業模組的許多功能,但支援發行智慧卡憑證。 如需特定詳細資料,以及預設原則模組的最新功能,請參閱產品檔。

對於無法接受預設原則模組的安裝,憑證服務允許自訂原則模組。 如需詳細資訊,請參閱 撰寫自訂原則模組