При установке Windows CA меня смущает capol.inf.
Кажется, что capol.inf устанавливает значения по умолчанию для CA, которые в противном случае можно было бы сделать с помощью функций реестра certutil (или regedit).
Похоже, он также играет роль при обновлении сертификата CA.
Наконец, похоже, что он также устанавливает значения по умолчанию для недавно выпущенных дочерних сертификатов, но не используется после установки для новых дочерних сертификатов.
Может ли кто-нибудь уточнить, когда используется этот файл, и есть ли какие-то разделы, которые используются во время одних задач, а не другие (установка, обновление CA, выдача дочерних сертификатов)?
CAPolicy.inf используется для указания параметров, которые влияют на сам сертификат CA и не могут быть настроены где-либо еще (ни с помощью certutil, ни с помощью графического интерфейса MMC). Это включает (но не ограничивается) срок действия продления сертификата CA, длину ключа, альтернативный алгоритм подписи, конфигурацию расширения сертификата.
Этот файл обрабатывается только во время установки сервера CA и обновления сертификата CA (независимо от того, с новой парой ключей или при повторном использовании существующей пары ключей). Во время остальных операций ЦС он не обрабатывается.