Windows CA をインストールするときに、capol.inf が混乱します。
capol.inf は CA のデフォルトを設定するようですが、これは certutil のレジストリ関数 (または regedit) を使用して実行することもできます。
CA 証明書を更新するときにも役割を果たすようです。
最後に、新しく発行された子証明書のデフォルトも設定されているようですが、インストール後に新しい子証明書には使用されません。
このファイルがいつ使用されるのか、また、一部のタスク中に使用されるセクションと、他のタスク (インストール、CA の更新、子証明書の発行) では使用されないセクションがあるかどうかを明確にできる方はいらっしゃいますか?
答え1
CAPolicy.inf は、CA 証明書自体に影響し、他の場所 (certutil または MMC GUI など) では構成できない設定を指定するために使用されます。これには、CA 証明書の更新の有効性、キーの長さ、代替署名アルゴリズム、証明書の拡張構成などが含まれます (ただし、これらに限定されません)。
このファイルは、CA サーバーのインストール時および CA 証明書の更新時 (新しいキー ペアを使用する場合でも、既存のキー ペアを再利用する場合でも) にのみ処理されます。その他の CA アクティビティ中には処理されません。