颁发策略

　　颁发策略用于标识贵组织对另一组织 CA 层次结构所颁发证书中提供身份的信任程度。例如，某个颁发策略可能描述只信任在网络管理员面对面会议中颁发的证书，例如智能卡证书的颁发。每个颁发策略均由 OID 进行描述。在所颁发的证书中包含颁发策略 OID 表示该证书的颁发满足与颁发策略 OID 相关联的颁发要求。

　　对于特定的证书模板，您可以定义一个或多个要包含在所颁发证书中的颁发策略 OID。有一个特殊的颁发策略所有颁发策略 OID，该策略通常为 CA 证书保留，它指示颁发策略包含所有其他的颁发策略。

　　Windows Server 2003 包括四个预定义的颁发策略：

　　•所有颁发 (2.5.29.32.0) 所有颁发策略指示颁发策略包含所有其他的颁发策略。通常，此 OID 只分配给 CA 证书。

　　•低确定性 (1.3.6.1.4.1.311.21.8.x.y.z.1.400) 低确定性 OID 一般表示不包含任何额外安全要求的颁发证书。OID 的 x.y.z 部分是一个随机生成的数字序列，它对每个 Windows Server 2003 林都是唯一的。

　　•中确定性 (1.3.6.1.4.1.311.21.8.x.y.z.1.401) 中确定性 OID 一般表示可能具有额外的颁发安全要求的证书。例如，在与智能卡颁发者面对面会议中颁发的智能卡证书可视为中确定性的证书，并包含中确定性的 OID。OID 的 x.y.z 部分是一个随机生成的数字序列，它对每个 Windows Server 2003 林都是唯一的。

　　•高确定性 (1.3.6.1.4.1.311.21.8.x.y.z.1.402) 高确定性 OID 一般表示包含最高安全性要求的颁发证书。例如，密钥恢复代理证书允许证书持有者从 Windows Server 2003 Enterprise Edition CA 恢复私钥资料。密钥恢复代理证书的颁发则可能需要额外的后台检查和指定审批者的数字签名。OID 的 x.y.z 部分是一个随机生成的数字序列，它对每个 Windows Server 2003 林都是唯一的。

　　•最佳操作 从技术角度看，可以将颁发策略添加到运行 Enterprise Edition 的 Windows Server 2003 证书颁发机构所颁发的任何第 2 版模板中。但是，最佳操作是在 Policy.inf 文件中为限定从属 CA 应用颁发策略，以确保 CA 策略的一致性。这是为了避免不小心颁发包含不同策略的模板。

　　如果组织颁发了现有 OID，则很可能用于此用途。此外，您还可以创建自己的 OID，以表示自定义的颁发策略。例如，具有采购方/销售方关系的两个组织可以定义自定义的 OID，以表示特定采购数量的数字签名证书。例如，为 100,000 美元和 500,000 美元间的采购定义 OID，再为大于 500,000 美元的采购定义另一个 OID。然后应用程序可以使用这些 OID 来识别人员是否具有特定数量采购的适当签名颁发机构。

　　

[PolicyStatementExtension] 　　Policies = HighAssurancePolicy, MediumAssurancePolicy, LowAssurancePolicy 　　CRITICAL = FALSE 　　[HighAssurancePolicy] 　　OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.402 　　[MediumAssurancePolicy] 　　OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.401 　　[LowAssurancePolicy] 　　OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.400

　　注意：只有 Windows XP 和 Windows Server 2003 客户端能够识别颁发策略扩展。如果将扩展标记为关键，CAPI 便会将扩展传递给应用程序。当调用方应用程序用特定策略提供程序调用扩展时，调用方应用程序需能理解该扩展。该行为会随应用程序的不同而不同。如果是在 Windows 2000 的 Outlook 中，由于程序不理解该扩展，一个关键的颁发策略便会导致 Outlook 生成错误。但在 Windows XP 上，由于程序可以识别颁发策略，便不会引发错误。