策略模块确定是否应自动批准、拒绝证书申请或将其标记为挂起。退出模块提供在颁发证书之后执行特定任务的机会。

Active Directory 证书服务 (AD CS) 包含一个策略模块 (Certpdef.dll) 和一个退出模块 (Certxds.dll)。策略模块包含两个单独的策略:企业策略和独立策略。若要比较使用企业策略的证书颁发机构 (CA) 和使用独立策略的 CA,请参阅企业证书颁发机构独立证书颁发机构

作为 CA 管理员,可以用自己的自定义策略模块和退出模块或者其他供应商的策略模块和退出模块替换这些默认模块。此外,如果您已经从早期版本 Windows 中的证书服务升级到 Windows Server 2008 R2 或 Windows Server 2008 中的 AD CS,则可以使用在升级之前使用的相同策略模块。查看 CA 的属性时,策略模块将作为旧版策略模块或带有其原始名称列出,具体取决于其创建方式。

策略模块

随基于 Windows Server 2008 R2 的 CA 提供的策略模块确定 CA 收到证书申请时的默认行为:批准、拒绝或标记为挂起。

在大多数实例中,独立 CA 的管理员应将所有传入证书申请设置为挂起。否则,由于独立 CA 不通过 Active Directory 域服务 (AD DS) 验证请求者的身份,没有方法验证证书申请者的身份和有效性。

CA 一次只能加载一个策略模块。

退出模块

可将随基于 Windows Server 2008 R2 的 CA 一起提供的退出模块配置为执行下列功能:

  • 发生证书事件时发送电子邮件。

  • 将证书发布到文件系统。

这不是退出模块功能的详尽列表。与策略模块不同,多个退出模块可由 CA 同时使用。

自定义 AD CS 策略模块和退出模块

若要配置默认策略模块和退出模块的设置,请参阅配置策略和退出模块

若要配置用于发送电子邮件的选项,请参阅发生证书事件时发送电子邮件

可编程接口包含在 AD CS 中供开发人员创建自定义的策略模块。有关详细信息,请参阅证书服务体系结构 (https://go.microsoft.com/fwlink/?LinkId=91405)(可能为英文网页)。

如果已创建自定义的策略模块,且希望更改策略模块,请参阅选择其他策略模块

如果已创建自定义的退出模块,且希望更改或添加退出模块,请参阅选择其他退出模块


目录