Servizi certificati Active Directory è in grado di supportare un'ampia gamma di metodi di registrazione e rinnovo, inclusi i metodi di registrazione automatica senza interazione del client e quelli di registrazione interattiva, ad esempio la Richiesta guidata certificato e le pagine Web di Servizi certificati Active Directory.

Nota

Se si distribuiscono Autorità di certificazione (CA) non Microsoft o applicazioni di registrazione e rinnovo dei certificati personalizzate, sarà necessario eseguire le attività di configurazione richieste per tali CA e applicazioni.

Il modo in cui un client ottiene un certificato è determinato principalmente dalle proprietà di sicurezza del modello di certificato.

Quando i modelli di certificato vengono pubblicati su un server, in ognuno di essi è contenuto un elenco di controllo di accesso (ACL, Access Control List) in cui sono definite le operazioni specifiche che un soggetto può eseguire con un certificato.

Impostazione Descrizione

Controllo completo

Il gruppo o l'utente selezionato può eseguire qualsiasi operazione sul modello.

Lettura

Il gruppo o l'utente selezionato può leggere il modello.

Scrittura

Il gruppo o l'utente selezionato può modificare il modello.

Registrazione

Il gruppo o l'utente selezionato può inviare una richiesta di rilascio o rinnovo di un certificato basata sul modello.

Nota

Per recuperare automaticamente Firma risposta OCSP, gli account del servizio Risponditore in linea devono disporre dell'autorizzazione di registrazione e non dell'autorizzazione di registrazione automatica.

Registrazione automatica

Il gruppo o l'utente selezionato può inviare una richiesta di certificato basata sul modello mediante la registrazione automatica.

Nota

L'autorizzazione di registrazione automatica non include l'autorizzazione di registrazione. Per utilizzare l'autorizzazione di registrazione automatica, concedere entrambe le autorizzazioni.

I certificati in genere vengono utilizzati per la registrazione di un soggetto con la registrazione automatica consentita. In questo caso, è necessario concedere al soggetto le autorizzazioni di lettura, registrazione e registrazione automatica.

Se non si desidera che gli utenti vengano registrati in modo automatico, ma allo stesso tempo si preferisce non rendere disponibile la registrazione manuale o basata sul Web, è consigliabile concedere le autorizzazioni di lettura e registrazione.

Quando i soggetti possiedono già un certificato, necessitano solo delle autorizzazioni di lettura e registrazione per rinnovare il certificato, indipendentemente dal fatto che utilizzino o meno la registrazione automatica.

È consigliabile riservare le autorizzazioni di scrittura e controllo completo ai gestori di CA per evitare che i modelli vengano configurati in modo non appropriato.