原則模組可判斷憑證要求是否應自動核准、拒絕或標示為擱置。結束模組可在發行憑證之後提供執行特定工作的機會。
Active Directory 憑證服務 (AD CS) 包括一個原則模組 (Certpdef.dll) 和一個結束模組 (Certxds.dll)。原則模組包括兩個個別原則:企業和獨立。若要比較使用企業原則的憑證授權單位 (CA) 和使用獨立原則的 CA,請參閱企業憑證授權單位及獨立憑證授權單位。
身為 CA 系統管理員,您可使用自己的自訂原則和結束模組,或其他廠商的原則和結束模組,來取代這些預設模組。此外,如果您已從舊版 Windows 中的憑證服務升級為 Windows Server 2008 R2 或 Windows Server 2008 中的 AD CS,則可使用升級之前所用的相同原則模組。當您檢視 CA 的內容時,原則模組將會根據其建立方式,列為繼承原則模組或以其原始名稱列示。
原則模組
利用 Windows Server 2008 R2 CA 所提供的原則模組,可根據接收的憑證要求來判斷 CA 的預設動作:核准、拒絕或標示為擱置。
在大部分的情況下,獨立 CA 的系統管理員應將所有連入的憑證要求設定為擱置。否則,因為獨立 CA 無法透過 Active Directory 網域服務 (AD DS) 確認要求者的身分識別,所以沒有方法可以確認憑證要求者的識別身分及有效性。
CA 一次只能載入一個原則模組。
結束模組
利用 Windows Server 2008 R2 CA 所提供的結束模組可設定為執行下列功能:
-
發生憑證事件時,傳送電子郵件。
-
將憑證發行至檔案系統。
這並非結束模組的詳細功能清單。與原則模組不同,CA 可以同時使用多個結束模組。
自訂 AD CS 原則和結束模組
若要設定預設原則和結束模組的設定,請參閱設定原則和結束模組。
若要設定傳送電子郵件的選項,請參閱發生憑證事件時傳送電子郵件。
AD CS 中包含可程式化的介面,可讓開發人員建立自訂的原則模組。如需相關資訊,請參閱<憑證服務架構>(
如果您已經建立自訂的原則模組,且想要變更原則模組,請參閱選取不同的原則模組。
如果您已經建立自訂的結束模組,且想要變更或新增結束模組,請參閱選取不同的結束模組。