Emitir Certificados Baseados em Modelos de Certificado

Os Serviços de Certificados do Active Directory (AD CS) suportam diversos métodos de inscrição e renovação, incluindo métodos de inscrição automática sem qualquer interacção do cliente e de inscrição interactiva, como o Assistente de Requisição de Certificados e as páginas Web dos AD CS.

	Nota
	Se implementar ACs (autoridades de certificação) não Microsoft ou aplicações de inscrição e renovação de certificados personalizadas, terá de efectuar qualquer configuração necessária para essas ACs e aplicações.

O modo como um cliente obtém um certificado é controlado em grande parte pelas propriedades de segurança do modelo de certificado.

Quando os modelos de certificados são publicados num servidor, cada modelo contém uma ACL (lista de controlo de acesso) que define as operações específicas que um requerente poderá efectuar com um certificado.

Definição	Descrição
Controlo Total	O grupo ou utilizador seleccionado pode efectuar qualquer acção neste modelo.
Ler	O grupo ou utilizador seleccionado pode ler este modelo.
Escrever	O grupo ou utilizador seleccionado pode modificar este modelo.
Inscrever	O grupo ou utilizador seleccionado pode submeter um pedido de emissão ou renovação de certificado com base neste modelo. Nota Para obter automaticamente certificados de Assinatura de Resposta OCSP, as contas do serviço de Dispositivo de Resposta Online requerem a permissão Inscrever e não a permissão Inscrever Automaticamente.
Inscrever automaticamente	O grupo ou utilizador seleccionado pode submeter um pedido de certificado com base neste modelo através da inscrição automática. Nota A permissão Inscrever Automaticamente não inclui a permissão Inscrever. Para utilizar a permissão Inscrever Automaticamente, conceda ambas as permissões.

A utilização mais comum de certificados é para inscrição de requerentes com permissão para inscrição automática. Neste caso, o requerente tem de ter permissões para Ler, Inscrever e Inscrever automaticamente.

Se não pretender utilizar a inscrição automática de utilizadores, mas pretender disponibilizar a inscrição baseada na Web ou manual, o mais adequado é conceder as permissões Ler e Inscrever.

Quando os requerentes já detêm um certificado, apenas necessitam de permissões para Ler e Inscrever para a renovação do mesmo, independentemente de utilizarem, ou não, a inscrição automática.

As permissões Escrever e Controlo Total deverão ser restringidas aos gestores da AC como forma de garantir que os modelos não serão incorrectamente configurados.

• Gerir Modelos de Certificado
  
  
• Configurar Inscrição Automática de Certificados
  
  
• Permitir que os Requerentes Peçam um Certificado Baseado num Modelo
  
  
• Reinscrever Todos os Detentores de Certificados
  
  
• Modificar uma Política de Emissão
  
  
• Configurar a Publicação de Certificados nos Serviços de Domínio do Active Directory