Les modules de stratégie déterminent si une demande de certificat doit être automatiquement approuvée, refusée ou mise en attente. Les modules de sortie permettent de réaliser certaines tâches après l’émission d’un certificat.
Les services de certificat Active Directory (AD CS, Active Directory Certificate Services) comprennent un module de stratégie (Certpdef.dll) et un module de sortie (Certxds.dll). Le module de stratégie comprend deux stratégies différentes : entreprise et autonome. Pour comparer une autorité de certification qui utilise une stratégie d’entreprise et une autorité de certification qui utilise une stratégie autonome, voir Autorités de certification d’entreprise et Autorités de certification autonomes.
En tant qu’administrateur d’autorité de certification, vous pouvez remplacer ces modules par défaut par vos propres modules de stratégie et de sortie personnalisés ou par ceux d’un autre fournisseur. De plus, si vous avez effectué une mise à jour vers les services AD CS dans Windows Server 2008 R2 ou Windows Server 2008 depuis les services de certificats d’une version antérieure de Windows, vous pouvez utiliser le même module de stratégie que celui utilisé avant la mise à jour. Lorsque vous afficherez les propriétés d’une autorité de certification, le module de stratégie apparaîtra en tant que module de stratégie héritée ou sous son nom d’origine, selon la manière dont il a été créé.
Module de stratégie
Le module de stratégie fourni avec une autorité de certification Windows Server 2008 R2 détermine l’action par défaut d’une autorité de certification lors de la réception d’une demande de certificat : approuver, refuser ou mettre en attente.
Dans la plupart des cas, l’administrateur d’une autorité de certification autonome doit mettre toutes les demandes de certificat en attente. Dans le cas contraire, l’autorité de certification ne vérifiant pas l’identité des demandeurs via les services AD DS (Active Directory Domain Services), il n’existe aucun moyen de vérifier l’identité et la validité du demandeur de certificat.
L’autorité de certification ne peut charger qu’un module de stratégie à la fois.
Module de sortie
Le module de sorti fourni par une autorité de certification Windows Server 2008 R2 peut être configuré pour exécuter les fonctions suivantes :
-
Envoyer un message électronique lors d’un événement de certification.
-
Publier des certificats dans le système de fichiers.
Cette liste de fonctions du module de sortie n’est pas exhaustive. À la différence des modules de stratégie, plusieurs modules de sortie peuvent être utilisés simultanément par l’autorité de certification.
Personnalisation des modules de stratégie et de sortie des services AD CS
Pour configurer les paramètres des modules de stratégie et de sortie par défaut , voir Configuration des modules de stratégie et de sortie.
Pour configurer les options d’envoi de courrier électronique, voir Envoyer un message électronique lors d’un événement de certification
Des interfaces programmables sont incluses dans les services AD CS pour permettre aux développeurs de créer des modules de stratégie personnalisés. Pour plus d’informations, voir l’article sur l’architecture des services de certificat (
Si vous avez créé un module de stratégie personnalisé et que vous souhaitez changer de module, voir Sélectionner un module de stratégie différent.
Si vous avez créé un module de sortie personnalisé et que vous souhaitez changer ou ajouter un module de sortie, voir Sélectionner un module de sortie différent.