Active Directory 证书服务 (AD CS) 支持各种注册和续订方法,包括无需任何客户交互的自动注册以及交互式注册方法(如“证书申请向导”和 AD CS 网页)。

注意

如果部署非 Microsoft 证书颁发机构 (CA) 或自定义证书注册和续订应用程序,则必须执行这些 CA 和应用程序所需的任何配置。

客户端如何获取证书主要由证书模板的安全属性来控制。

在服务器上发布证书模板时,每个模板都包含一个访问控制列表 (ACL),用于定义使用者使用证书时可以执行的特定操作。

设置 描述

完全控制

选定的组或用户可以对此模板执行任何操作。

读取

选定的组或用户可以读取此模板。

写入

选定的组或用户可以修改此模板。

注册

选定的组或用户可以提交基于此模板的证书颁发或续订申请。

注意

若要自动检索 OCSP 响应签名证书,联机响应程序服务帐户需要“注册”权限,而不是“自动注册”权限。

自动注册

选定的组或用户可借助自动注册方式提交基于此模板的证书申请。

注意

“自动注册”权限不包括“注册”权限。若要使用“自动注册”权限,请同时授予这两种权限。

证书最常见的用途就是允许使用者使用自动注册功能进行注册。在这种情况下,使用者必须被授予“读取”、“注册”和“自动注册”权限。

如果不希望自动注册用户,而是希望采用手动或基于 Web 的注册,则应授予“读取”和“注册”权限。

使用者已持有证书时,他们只需具备“读取”和“注册”权限即可续订该证书,无论他们是否使用自动注册功能。

“写入”和“完全控制”权限应限于 CA 管理员使用,以确保正确配置模板。