与证书关联的私钥的持有者称为使用者。这可以是用户、程序或几乎任何对象、计算机或服务。

由于在具体情况下使用者名称可能大不相同,因此,在证书申请中提供使用者名称时需要一定的灵活性。Windows 可根据 Active Directory 域服务 (AD DS) 中存储的使用者信息自动生成使用者名称,或可通过使用者手动提供使用者名称(例如,使用证书注册网页创建和提交证书申请)。

企业证书颁发机构 (CA) 包括配置证书模板的“证书模板”管理单元。使用证书模板属性页上的“使用者名称”选项卡可配置使用者名称选项。

在请求中提供

选择“在请求中提供”选项后,“使用现有证书中的使用者信息进行自动注册续订请求”选项可用于简化将使用者名称添加到证书续订请求的任务,且可用于允许计算机证书自动续订。现有证书中的使用者信息不用于自动续订用户证书。

自动或使用“证书”管理单元创建续订请求时,“使用现有证书中的使用者信息进行自动注册续订请求”选项可使证书注册客户端基于相同的证书模板从现有计算机证书中读取使用者名称和使用者备用名称信息。该选项适用于已过期、吊销或在续订期内的计算机证书。

用 AD DS 生成

选择“用 Active Directory 中的信息生成”选项后,可配置以下其他选项。

使用者名称格式

设置描述

公用名

CA 根据从 AD DS 获取的公用名 (CN) 创建使用者名称。此名称在域中应该唯一,但在企业中可能不唯一。

完全可分辨名称 (DN)

CA 根据从 AD DS 获取的完全可分辨名称创建使用者名称。这可确保在企业中名称唯一。

在使用者名称中包括电子邮件名

如果 Active Directory 用户对象中填充了电子邮件名字段,则该电子邮件名将作为使用者名称的一部分包括在公用名或完全可分辨名称中。

此证书不要求名称值。

将这个信息包括在另一个使用者名称中

设置描述

电子邮件名

如果 Active Directory 用户对象中填充了电子邮件名字段,则将使用该电子邮件名。

DNS 名称

这是申请证书的使用者的完全限定的域名 (FQDN)。这在计算机证书中最常用。

用户主体名称(UPN)

用户主体名称是 Active Directory 用户对象的一部分,并将使用该名称。

服务主体名称(SPN)

服务主体名称是 Active Directory 计算机对象的一部分,并将使用该名称。


目录