Держатель закрытого ключа, связанного с сертификатом, называется субъектом. Это может быть пользователь, программа или любой виртуальный объект, компьютер или служба.

Предоставление имени в запросе сертификата должно обладать достаточной гибкостью в связи с большим разнообразием типов субъектов. В системе Windows имя субъекта может формироваться автоматически на основании сведений, хранящихся в доменных службах Active Directory, или указываться вручную субъектом (например, с использованием веб-страниц регистрации сертификатов для создания и передачи запроса сертификата).

В центрах сертификации предприятий имеется оснастка «Шаблоны сертификатов» для настройки шаблонов сертификатов. Параметры имени субъекта можно настроить на вкладке Имя субъекта на странице свойств шаблона сертификата.

Предоставление в запросе

Когда выбран параметр Предоставляется в запросе, становится доступным параметр Использовать данные о субъекте из существующих сертификатов для запросов возобновления автоматической регистрации, позволяющий упростить задачу добавления имени субъекта в запрос обновления сертификата и разрешить автоматическое обновление сертификатов компьютера. Для автоматического обновления сертификатов пользователей не используются сведения о субъекте из существующих сертификатов.

Благодаря параметру Использовать данные о субъекте из существующих сертификатов для запросов возобновления автоматической регистрации клиент регистрации сертификата может прочитать имя и альтернативное имя субъекта из существующего сертификата компьютера, созданного на основании того же шаблона сертификата, при автоматическом создании запросов на обновление или использовании оснастки «Сертификаты». Это применимо к сертификатам компьютера с истекшим сроком действия, отозванным или находящимся в состоянии обновления.

Построение на основе данных Active Directory

Когда выбран параметр Строится на основе данных Active Directory, можно настроить следующие дополнительные параметры.

Формат имени субъекта

Параметр Описание

Общее имя

Центр сертификации создает имя субъекта на основе обычного имени, полученного из доменных служб Active Directory. Эти имена уникальны внутри домена, но могут повторяться в рамках предприятия.

Полное различающееся имя

Центр сертификации создает имя субъекта на основе полного различающегося имени, полученного из доменных служб Active Directory. Это обеспечивает уникальность имени внутри предприятия.

Включить имя электронной почты в имя субъекта

Если поле имени электронной почты заполнено в объекте «пользователь» в Active Directory, это имя включается в имя субъекта как часть общего имени или полного различающегося имени.

Отсутствует

Для сертификата не требуется значение имени.

Включить эту информацию в альтернативное имя субъекта

Параметр Описание

Имя электронной почты

Если поле имени электронной почты заполнено в объекте «пользователь» в Active Directory, это имя используется.

DNS-имя

Полное доменное имя (FQDN) субъекта, запрашивающего сертификат. Наиболее часто используется в сертификатах компьютеров.

Имя участника-пользователя (UPN)

Будет использовано имя участника-пользователя, являющееся частью объекта «пользователь» в Active Directory.

Имя участника-службы (SPN)

Будет использовано имя участника-службы, являющееся частью объекта «компьютер» в Active Directory.