Der Inhaber des einem Zertifikat zugeordneten privaten Schlüssels wird als Antragsteller bezeichnet. Hierbei kann es sich um einen Benutzer, ein Programm oder praktisch jedes beliebige Objekt, jeden Computer oder jeden Dienst handeln.
Da der Antragstellername in Abhängigkeit von seiner "Natur" stark variieren kann, ist ein gewisses Maß an Flexibilität erforderlich, um den Antragstellernamen in der Zertifikatanforderung anzugeben. Der Antragstellername kann von Windows anhand von in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeicherten Antragstellerinformationen automatisch erstellt werden. Der Antragstellername kann aber auch vom Antragsteller manuell bereitgestellt werden (z. B. mithilfe von Zertifikatregistrierungswebseiten zum Erstellen und Einreichen einer Zertifikatanforderung).
Unternehmenszertifizierungsstellen (Certification Authorities, CAs) enthalten das Zertifikatvorlagen-Snap-In zum Konfigurieren von Zertifikatvorlagen. Verwenden Sie die Registerkarte Antragstellername auf der Seite mit den Zertifikatvorlageneigenschaften, um Optionen für den Antragstellernamen zu konfigurieren.
Informationen werden in der Anforderung angegeben
Wenn die Option Informationen werden in der Anforderung angegeben ausgewählt ist, ist die Option Subjektinformationen aus vorhandenen Zertifikaten für Erneuerungsanforderungen für automatische Registrierung verwenden verfügbar. Dadurch wird das Hinzufügen des Antragstellernamens zur Zertifikaterneuerungsanforderung vereinfacht, und Computerzertifikate können automatisch erneuert werden. Antragstellerinformationen aus vorhandenen Zertifikaten werden nicht für die automatische Erneuerung von Benutzerzertifikaten verwendet.
Die Option Subjektinformationen aus vorhandenen Zertifikaten für Erneuerungsanforderungen für automatische Registrierung verwenden bewirkt, dass der Zertifikatregistrierungsclient Informationen zum Antragstellernamen und zum alternativen Antragstellernamen aus einem vorhandenen Computerzertifikat liest, das auf der Zertifikatvorlage basiert, die bei der automatischen Erstellung von Erneuerungsanforderungen oder mithilfe des Zertifikat-Snap-In verwendet wurde. Dies gilt für Computerzertifikate, die abgelaufen, gesperrt oder innerhalb des Erneuerungszeitraums liegen.
Aus diesen Informationen in Active Directory erstellen
Wenn die Option Aus diesen Informationen in Active Directory erstellen ausgewählt ist, können die folgenden zusätzlichen Optionen konfiguriert werden.
Format des Antragstellernamen
| Einstellung | Beschreibung |
|---|---|
Allgemeiner Name | Von der Zertifizierungsstelle wird der Antragstellername aus dem allgemeinen Namen (Common Name, CN) erstellt, der aus den Active Directory-Domänendiensten abgerufen wird. Dieser Name muss in einer Domäne eindeutig sein, auch wenn er innerhalb des Unternehmens möglicherweise nicht eindeutig ist. |
Vollständiger definierter Name | Von der Zertifizierungsstelle wird der Antragstellername aus dem vollständigen definierten Namen (Distinguished Name, DN) erstellt, der aus den Active Directory-Domänendiensten abgerufen wird. Dadurch wird die Eindeutigkeit des Namens innerhalb eines Unternehmens garantiert. |
E-Mail-Name im Antragstellernamen | Falls das Feld für den E-Mail-Namen im Active Directory-Benutzerobjekt Daten enthält, wird dieser E-Mail-Name in den allgemeinen Namen oder in den vollständigen definierten Namen als Teil des Antragstellernamens eingeschlossen. |
Keine | Für dieses Zertifikat ist kein Namenswert erforderlich. |
Informationen im alternativen Antragstellernamen einbeziehen
| Einstellung | Beschreibung |
|---|---|
E-Mail-Name | Falls das Feld für den E-Mail-Namen im Active Directory-Benutzerobjekt Daten enthält, wird dieser E-Mail-Name verwendet. |
DNS-Name | Dies ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Zertifikatantragstellers. Dieser Name wird für Computerzertifikate am meisten verwendet. |
Benutzerprinzipalname (UPN) | Der Benutzerprinzipalname ist Teil des Active Directory-Benutzerobjekts und wird verwendet. |
Dienstprinzipalname (SPN) | Der Dienstprinzipalname ist Teil des Active Directory-Computerobjekts und wird verwendet. |