安装 Windows CA 时,capol.inf 让我感到困惑。
看来 capol.inf 确实为 CA 设置了默认值,否则可以使用 certutil 的注册表功能(或 regedit)来完成。
在更新 CA 证书时它似乎也发挥着作用。
最后,它似乎还为新颁发的子证书设置了默认值,但在安装后不会用于新的子证书
有人可以澄清何时使用此文件,以及是否有一些部分在某些任务期间使用,而其他部分则不使用(安装、CA 更新、颁发子证书)?
答案1
CAPolicy.inf 用于指定影响 CA 证书本身的设置,并且无法在其他地方配置(也无法通过 certutil 或 MMC GUI 配置)。这包括(但不限于)CA 证书更新有效性、密钥长度、备用签名算法、证书扩展配置。
此文件仅在 CA 服务器安装和 CA 证书更新期间处理(无论是使用新密钥对还是重用现有密钥对)。其余 CA 活动期间不处理此文件。