O proprietário da chave privada associada a um certificado é conhecido como a entidade. Pode ser um usuário, um programa ou praticamente qualquer objeto, computador ou serviço.
Como o nome do requerente pode variar muito, dependendo de quem ou do que seja, é preciso que haja alguma flexibilidade ao fornecer o nome do requerente na solicitação de certificados. O Windows pode criar o nome do requerente automaticamente a partir das informações da entidade armazenadas no AD DS (Serviços de Domínio Active Directory) ou o nome do requerente pode ser fornecido manualmente pela entidade (por exemplo, usando as páginas da Web de registro de certificado para criar e enviar uma solicitação de certificado).
As CAs (autoridades de certificação) corporativas incluem o snap-in dos Modelos de certificado para configurar os modelos de certificado. Use a guia Nome do Requerente na folha de propriedades do modelo de certificado para configurar as opções do nome do requerente.
Fornecer na solicitação
Quando a opção Fornecer na solicitação é selecionada, a opção Usar informações da entidade de certificados existentes para solicitações de renovação de registro automático fica disponível para simplificar a tarefa de adicionar o nome do requerente à solicitação de renovação do certificado e para permitir que os certificados do computador sejam renovados automaticamente. As informações da entidade de certificados existentes não são usadas para renovação automática de certificados de usuário.
A opção Use informações sobre o requerente de certificados existentes para solicitações de renovação de registro automático. faz com que o cliente de registro de certificado leia as informações sobre o nome do requerente e sobre o nome alternativo da entidade de um certificado de computador existente com base no mesmo modelo de certificado ao criar solicitações de renovação automáticas ou ao usar o snap-in dos Certificados. Isso se aplica aos certificados de computador expirados, revogados ou dentro do período de renovação.
Criar a partir do AD DS
Quando a opção Criar com base nas informações do Active Directory é selecionada, as seguintes opções adicionais podem ser configuradas.
Formato do nome do requerente
| Configuração | Descrição |
|---|---|
Nome comum | A CA cria o nome do requerente a partir do CN (nome comum) obtido no AD DS. Esse nome deve ser exclusivo em um domínio, mas poderá não ser exclusivo na empresa. |
DN (Nome totalmente distinto). | A CA cria o nome do requerente a partir do nome totalmente distinto obtido no AD DS. Isso garante que o nome seja exclusivo na empresa. |
Incluir nome de email no nome do requerente | Se o campo Nome de email estiver preenchido no objeto de usuário do Active Directory, esse nome será incluído com o nome comum ou com nome o totalmente distinto como parte do nome do requerente. |
Nenhuma | Um valor de nome não é necessário para esse certificado. |
Incluir essas informações no nome alternativo da entidade
| Configuração | Descrição |
|---|---|
Nome de email | Se o campo Nome de email estiver preenchido no objeto de usuário do Active Directory, esse nome de email será usado. |
Nome DNS | Esse é o FQDN (nome de domínio totalmente qualificado) da entidade que solicitou o certificado. É mais usado em certificados de computadores |
Nome UPN (Nome principal do usuário) | O nome principal de usuário é parte do objeto de usuário do Active Directory e será usado. |
SPN (Nome principal de serviço). | O nome principal de serviço é parte do objeto de computador do Active Directory e será usado. |