ポリシー モジュールにより、証明書要求を自動でどのように処理 (承認、拒否、または保留中に設定) するかが決まります。終了モジュールは、証明書の発行後に特定のタスクを実行する機会を提供します。

Active Directory 証明書サービス (AD CS) には、1 つのポリシー モジュール (Certpdef.dll) と 1 つの終了モジュール (Certxds.dll) が含まれています。ポリシー モジュールには、エンタープライズとスタンドアロンという 2 つの別個のポリシーがあります。エンタープライズ ポリシーを使用する証明機関 (CA) とスタンドアロン ポリシーを使用する CA を比較するには、「エンタープライズ証明機関」および「スタンドアロン証明機関」を参照してください。

CA 管理者は、これらの既定のモジュールの代わりに、独自のカスタム ポリシー モジュールと終了モジュールまたは別のベンダーのポリシー モジュールと終了モジュールを使用できます。また、以前のバージョンの Windows の証明書サービスから Windows Server 2008 R2 または Windows Server 2008 の AD CS にアップグレードした場合は、アップグレード前に使用していたものと同じポリシー モジュールを使用できます。CA のプロパティを表示すると、以前のポリシー モジュールがその作成方法に応じて、レガシ ポリシー モジュールとして、または元の名前で表示されます。

ポリシー モジュール

Windows Server 2008 R2 ベースの CA で提供されるポリシー モジュールにより、証明書要求を受信したときの既定の動作 (承認、拒否、または保留中として設定) が決まります。

多くの場合、スタンドアロン CA の管理者は、受信したすべての証明書要求を保留中に設定してください。そうしないと、スタンドアロン CA では Active Directory ドメイン サービス (AD DS) 経由で受信した要求者の身元を確認しないため、証明書の要求者の身元と有効性を確認する手段がありません。

CA では、一度に 1 つのポリシー モジュールしか読み込むことができません。

終了モジュール

Windows Server 2008 R2 ベースの CA に用意されている終了モジュールは、次の機能を実行するように構成できます。

  • 証明書イベント発生時の電子メールの送信

  • ファイル システムへの証明書の発行

これは、終了モジュールの機能の一部にすぎません。ポリシー モジュールとは異なり、同時に複数の終了モジュールを CA で使用できます。

AD CS のポリシー モジュールと終了モジュールのカスタマイズ

既定のポリシー モジュールと終了モジュールの設定を構成するには、「ポリシー モジュールと終了モジュールを構成する」を参照してください。

電子メールの送信オプションを構成するには、「証明イベントが発生したときに電子メールを送信する」を参照してください。

カスタマイズしたポリシー モジュールを開発者が作成できるように、AD CS には、プログラム可能なインターフェイスが用意されています。詳細については、証明書サービス アーキテクチャに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=91405) を参照してください。

カスタマイズしたポリシー モジュールを作成して、ポリシー モジュールを変更する場合は、「別のポリシー モジュールを選択する」を参照してください。

カスタマイズした終了モジュールを作成して、終了モジュールを変更または追加する場合は、「別の終了モジュールを選択する」を参照してください。


目次