企業憑證授權單位 (CA) 可基於下列目的來發行憑證,例如,數位簽章、使用 S/MIME (安全多用途網際網路郵件延伸) 保護電子郵件、使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 驗證安全網頁伺服器,以及使用智慧卡登入網域。
企業 CA 具有下列特性:
-
需要 Active Directory 網域服務 (AD DS) 的存取權。
-
使用群組原則,將憑證傳播到網域中所有使用者和電腦的「信任根憑證授權單位」憑證存放區。
-
將使用者憑證和憑證撤銷清單 (CRL) 發行至 AD DS。若要將憑證發行至 AD DS,已安裝 CA 的伺服器必須是 Certificate Publishers 群組成員。這會針對伺服器所在網域自動設定,但是必須委派適當的安全性權限給伺服器,才能在其他網域中發行憑證。
 | 附註 |
|
您必須是 Domain Admins 群組成員,或是具備寫入 AD DS 之存取權的系統管理員,才能安裝企業根 CA。 |
企業 CA 會根據憑證範本發行憑證。當您使用憑證範本時,可能會有下列功能:
-
企業 CA 會在憑證註冊期間強制對使用者進行認證檢查。每個憑證範本都會在 AD DS 中設定安全性權限,以判斷是否已授權憑證要求者接收它們所要求的憑證類型。
-
憑證主體名稱可從 AD DS 資訊自動產生,或由要求者明確地提供。
-
原則模組會將預先定義的憑證延伸清單,新增至已發行的憑證中。延伸是由憑證範本所定義。這可減少憑證要求者必須提供有關憑證及其預期用法的資訊量。
-
自動註冊可用於發行憑證。