ポリシー モジュールと終了モジュールを管理する

ポリシー モジュールにより、証明書要求を自動でどのように処理 (承認、拒否、または保留中に設定) するかが決まります。終了モジュールは、証明書の発行後に特定のタスクを実行する機会を提供します。

Active Directory 証明書サービス (AD CS) には、1 つのポリシー モジュール (Certpdef.dll) と 1 つの終了モジュール (Certxds.dll) が含まれています。ポリシー モジュールには、エンタープライズとスタンドアロンという 2 つの別個のポリシーがあります。エンタープライズ ポリシーを使用する証明機関 (CA) とスタンドアロン ポリシーを使用する CA を比較するには、「エンタープライズ証明機関」および「スタンドアロン証明機関」を参照してください。

CA 管理者は、これらの既定のモジュールの代わりに、独自のカスタム ポリシー モジュールと終了モジュールまたは別のベンダーのポリシー モジュールと終了モジュールを使用できます。また、以前のバージョンの Windows の証明書サービスから Windows Server 2008 R2 または Windows Server 2008 の AD CS にアップグレードした場合は、アップグレード前に使用していたものと同じポリシー モジュールを使用できます。CA のプロパティを表示すると、以前のポリシー モジュールがその作成方法に応じて、レガシ ポリシー モジュールとして、または元の名前で表示されます。

Windows Server 2008 R2 ベースの CA で提供されるポリシー モジュールにより、証明書要求を受信したときの既定の動作 (承認、拒否、または保留中として設定) が決まります。

多くの場合、スタンドアロン CA の管理者は、受信したすべての証明書要求を保留中に設定してください。そうしないと、スタンドアロン CA では Active Directory ドメイン サービス (AD DS) 経由で受信した要求者の身元を確認しないため、証明書の要求者の身元と有効性を確認する手段がありません。

CA では、一度に 1 つのポリシー モジュールしか読み込むことができません。

Windows Server 2008 R2 ベースの CA に用意されている終了モジュールは、次の機能を実行するように構成できます。

• 証明書イベント発生時の電子メールの送信
  
  
• ファイル システムへの証明書の発行
  
  

これは、終了モジュールの機能の一部にすぎません。ポリシー モジュールとは異なり、同時に複数の終了モジュールを CA で使用できます。

既定のポリシー モジュールと終了モジュールの設定を構成するには、「ポリシー モジュールと終了モジュールを構成する」を参照してください。

電子メールの送信オプションを構成するには、「証明イベントが発生したときに電子メールを送信する」を参照してください。

カスタマイズしたポリシー モジュールを開発者が作成できるように、AD CS には、プログラム可能なインターフェイスが用意されています。詳細については、証明書サービス アーキテクチャに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=91405) を参照してください。

カスタマイズしたポリシー モジュールを作成して、ポリシー モジュールを変更する場合は、「別のポリシー モジュールを選択する」を参照してください。

カスタマイズした終了モジュールを作成して、終了モジュールを変更または追加する場合は、「別の終了モジュールを選択する」を参照してください。