Выдача сертификатов, основанных на шаблонах сертификатов

Службы сертификатов Active Directory (AD CS) поддерживают несколько методов подачи заявки и обновления, включая автоматическую подачу заявки без взаимодействия с клиентом и интерактивные методы подачи заявки, такие как мастер запроса сертификата и веб-страницы AD CS.

Примечание

При развертывании ЦС сторонних разработчиков или подаче заявок и обновления применения пользовательских сертификатов с использованием приложений сторонних разработчиков необходимо выполнить настройки, обязательные для этих ЦС и приложений.

То, каким образом клиент получает сертификат, большей частью зависит от свойств безопасности шаблона сертификата.

Когда шаблоны сертификатов публикуются на сервере, каждый шаблон содержит список управления доступом (ACL), определяющий конкретные операции, которые субъект может выполнять с помощью сертификата.

Параметр Описание

Полный доступ

Выбранная группа или пользователь могут выполнять любое действие на этом шаблоне.

Чтение

Выбранная группа или пользователь обладают правами на чтение этого шаблона.

Запись

Выбранная группа или пользователь могут изменять этот шаблон.

Заявка

Выбранная группа или пользователь могут подать запрос на выдачу или возобновление сертификата на основе этого шаблона.

Примечание

Чтобы автоматически извлекать сертификаты подписывания отклика OCSP, службе сетевого ответчика требуется разрешение «Регистрация», а не «Автоматическая регистрация».

Автоматическая подача заявки

Выбранная группа или пользователь могут подать запрос на сертификат на основе этого шаблона посредством автоматической подачи заявки.

Примечание

Разрешение «Автоматическая регистрация» не включает в себя разрешение «Регистрация». Для использования разрешения «Автоматическая регистрация» предоставьте оба разрешения.

Наиболее широко используются сертификаты для подачи заявок субъектом с помощью разрешенной автоматической подачи заявки. В таком случае субъекту должно быть разрешено чтение, подача заявки и автоматическая подача заявки.

Если пользователей не следует регистрировать автоматически, но также необходимо обеспечить возможность регистрации вручную или через Интернет, предоставьте разрешение на чтение и на регистрацию.

Если у субъектов уже есть сертификаты, им нужны только разрешения на чтение и подачу заявки, чтобы возобновить сертификат независимо от того, используется автоматическая подача заявок или нет.

Разрешения на запись и на полный доступ следует давать только администраторам ЦС во избежание ненадлежащей настройки шаблонов.