Richtlinienmodule bestimmen, ob eine Zertifikatanforderung automatisch genehmigt, verweigert oder als ausstehend gekennzeichnet wird. Mit Beendigungsmodulen können bestimmte Aufgaben ausgeführt werden, nachdem ein Zertifikat ausgestellt wurde.
Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) enthält ein Richtlinienmodul (Certpdef.dll) und ein Beendigungsmodul (Certxds.dll). Das Richtlinienmodul enthält zwei unterschiedliche Richtlinien: Unternehmensrichtlinie und eigenständige Richtlinie. Zertifizierungsstellen, die eine Unternehmensrichtlinie verwenden, und Zertifizierungsstellen, die eine eigenständige Richtlinie verwenden, können Sie unter Unternehmenszertifizierungsstellen und Eigenständige Zertifizierungsstellen vergleichen.
Als Zertifizierungsstellenadministrator können Sie diese Standardmodule mit Ihren eigenen benutzerdefinierten Richtlinien- und Beendigungsmodulen oder den Richtlinien- und Beendigungsmodulen eines anderen Lieferanten ersetzen. Darüber hinaus können Sie, wenn Sie auf AD CS unter Windows Server 2008 R2 oder Windows Server 2008 von Zertifikatdiensten früherer Windows-Versionen aktualisiert haben, dasselbe Richtlinienmodul verwenden, das Sie vor dem Aktualisieren verwendet haben. Wenn Sie die Eigenschaften der Zertifizierungsstelle anzeigen, wird das Richtlinienmodul entweder als ein veraltetes Richtlinienmodul oder mit seinem ursprünglichen Namen aufgelistet, je nachdem, wie es erstellt wurde.
Richtlinienmodul
Das mit einer Windows Server 2008 R2-basierten Zertifizierungsstelle bereitgestellte Richtlinienmodul bestimmt die Standardaktion einer Zertifizierungsstelle beim Empfang einer Zertifikatanforderung: genehmigen, verweigern oder als ausstehend kennzeichnen.
In den meisten Fällen sollte der Administrator einer eigenständigen Zertifizierungsstelle alle eingehenden Zertifikatanforderungen als Ausstehend festlegen. Ansonsten gibt es keine Möglichkeit, die Identität und Gültigkeit des Zertifikatanforderers zu überprüfen, da die eigenständige Zertifizierungsstelle die Identität von Anforderern nicht über die Active Directory-Domänendienste überprüft.
Die Zertifizierungsstelle kann nur ein Richtlinienmodul auf einmal laden.
Beendigungsmodul
Das mit einer Windows Server 2008 R2-basierten Zertifizierungsstelle bereitgestellte Beendigungsmodul kann für folgende Funktionen konfiguriert werden:
-
Senden einer E-Mail, wenn ein Zertifizierungsereignis auftritt.
-
Veröffentlichen von Zertifikaten für das Dateisystem
Dies ist keine vollständige Liste aller Funktionen des Beendigungsmoduls. Im Gegensatz zum Richtlinienmodul können von einer Zertifizierungsstelle mehrere Beendigungsmodule gleichzeitig verwendet werden.
Anpassen von AD CS-Richtlinien- und Beendigungsmodulen
Informationen zum Konfigurieren der Einstellungen der Standardrichtlinien- und -beendigungsmodule finden Sie unter Konfigurieren der Richtlinien- und Beendigungsmodule.
Informationen zum Konfigurieren der Optionen zum Senden von E-Mails finden Sie unter Senden von E-Mails beim Auftreten eines Zertifizierungsereignisses.
Für Entwickler sind in AD CS programmierbare Schnittstellen zum Erstellen von benutzerdefinierten Richtlinienmodulen enthalten. Weitere Informationen finden Sie im Thema zur Zertifikatdienstearchitektur (
Informationen zum Ändern eines benutzerdefinierten Richtlinienmoduls finden Sie unter Auswählen eines anderen Richtlinienmoduls.
Informationen zum Ändern oder Hinzufügen eines benutzerdefinierten Beendigungsmoduls finden Sie unter Auswählen eines anderen Beendigungsmoduls.