AD CS (Active Directory Certificate Services) ondersteunt uiteenlopende inschrijvings- en vernieuwingsmethoden, waaronder automatische inschrijving zonder clientinteractie en interactieve inschrijvingsmethoden zoals de wizard Certificaat aanvragen en de AD CS-webpagina's.
Opmerking | |
Als u CA's (certificeringsinstanties) implementeert die niet van Microsoft zijn, of eigen toepassingen voor certificaatinschrijving en -vernieuwing, moet u de vereiste configuratie voor die CA's en toepassingen uitvoeren. |
Hoe een client een certificaat verkrijgt, wordt in de eerste plaats bepaald door de beveiligingseigenschappen van de certificaatsjabloon.
Wanneer certificaatsjablonen op een server worden gepubliceerd, bevat elke sjabloon een ACL (Access Control List) waarmee wordt gedefinieerd welke specifieke bewerkingen een certificaathouder met een certificaat kan uitvoeren.
Instelling | Beschrijving | ||||
---|---|---|---|---|---|
Volledig beheer |
De geselecteerde groep of gebruiker kan elke actie op deze sjabloon uitvoeren. | ||||
Lezen |
De geselecteerde groep of gebruiker kan deze sjabloon lezen. | ||||
Schrijven |
De geselecteerde groep of gebruiker kan deze sjabloon wijzigen. | ||||
Inschrijven |
De geselecteerde groep of gebruiker kan een aanvraag voor certificaatuitgifte of -vernieuwing indienen op basis van deze sjabloon.
| ||||
Automatische inschrijving |
De geselecteerde groep of gebruiker kan een certificaataanvraag indienen op basis van deze sjabloon door middel van automatische inschrijving.
|
Certificaten worden meestal gebruikt voor inschrijving door de certificaathouder waarbij automatische inschrijving is toegestaan. In dit geval moeten de machtigingen Lezen, Inschrijven en Automatische inschrijving aan de certificaathouder worden verleend.
Als u gebruikers niet automatisch wilt inschrijven, maar u wel handmatige inschrijving of registratie via internet beschikbaar wilt maken, kunt u het beste de machtigingen Lezen en Inschrijven verlenen.
Wanneer certificaathouders reeds een certificaat bezitten, zijn alleen de machtigingen Lezen en Inschrijven vereist om dat certificaat te vernieuwen, ongeacht of automatische inschrijving wordt gebruikt of niet.
De machtigingen Schrijven en Volledig beheer moeten worden beperkt tot CA-beheerders om ervoor te zorgen dat de sjablonen niet onjuist worden geconfigureerd.
-
Certificaatsjablonen beheren
-
Automatische certificaatinschrijving instellen
-
Certificaathouders toestaan een certificaat aan te vragen dat op een sjabloon is gebaseerd
-
Alle certificaathouders opnieuw inschrijven
-
Uitgiftebeleid wijzigen
-
Certificaatpublicatie in Active Directory Domain Services configureren