Итак, в Windows Vista/7/2008 создавать запросы сертификата в скриптах легко и приятно благодаря механизму IX509Enrollment со товарищи.
А как насчет Windows XP? Там приходится довольствоваться грубой штукой XEnroll, которая не больно-то гибка в настройках. По сути всё действо сводится к вызову метода CreatePKCS10, куда передаётся Distinguished Name и набор OID'ов, которые попадут в "улучшенное использование ключа". Как же указать политику применения? Я пробовал дёргать XEnroll::addExtensionToRequest в различных вариациях, но успеха не добился - ошибок нет, но на сертификатах наличие команды не отражается, как будто XEnroll просто игнорирует этот вызов...

Как же все-таки указать политику применения сертификата в запросе, используя средства XEnroll? И возможно ли это вообще?

В запросы тоже не попадает, если использовать CreatePKCS10. А вот метод CreateRequest порадовал - политика добавилась, правда в её значении был какой-то мусор. Поразмыслив, я решил сделать хитрость: в C++ через WinAPI создал политику сертификата, закодировал в ASN и результат записал в файл, после чего подсунул эти бинарные данные в метод addExtensionToRequest. Сработало! Путём такого чудовищного изврата получилось в XP через скрипт создать запрос с нужной политикой! Грязно, но работает, я уже совсем было обрадовался, однако не тут-то было...

В КриптоПро 3.6 всё работает, а вот в КриптоПро 3.0 беда - при попытке вызвать CreateRequest после дёрганья мышкой в ДСЧ и выбора пароля получаем сначала ошибку 0x80090020, а все последующие вызовы - 0x8009001A. Что на реестр, что на флешку. Причем, как выяснилось, от политики сертификата это никак не зависит, даже если её убрать. Просто - метод XEnroll::CreateRequest отказывается работать в 3.0. Перепробовал все варианты флагов - безрезультатно. Может я что-то еще упустил? Чего в 3.0 не хватает для счастья?

Точно! Сервиспак всё полечил, спасибо. Надо потом ещё посмотреть будет, как 2.0 себя ведёт...