Služba AD CS (Active Directory Certificate Services) podporuje řadu metod zápisu a obnovy, včetně automatického zápisu bez interakce s klientem, i interaktivní metody zápisu, například Průvodce podáním žádosti o certifikát a webové stránky AD CS.
Poznámka | |
Nasazujete-li certifikační autority (CA) nepocházející od společnosti Microsoft nebo vlastní aplikace pro zápis a obnovu certifikátů, musíte pro tyto CA a aplikace provést veškeré potřebné konfigurace. |
Způsob, jakým klient certifikát obdrží, je řízen především vlastnostmi zabezpečení šablony certifikátu.
Jsou-li šablony certifikátů zveřejněny na serveru, každá šablona obsahuje seznam řízení přístupu (ACL) definující specifické operace, které subjekt může s certifikátem provádět.
Nastavení | Popis | ||||
---|---|---|---|---|---|
Úplné řízení |
Vybraná skupina nebo uživatel může s touto šablonou provádět libovolné akce. | ||||
Čtení |
Vybraná skupina nebo uživatel může číst tuto šablonu. | ||||
Zápis |
Vybraná skupina nebo uživatel může upravovat tuto šablonu. | ||||
Zápis |
Vybraná skupina nebo uživatel může podat žádost o vystavení nebo obnovu certifikátu na základě této šablony.
| ||||
Automatický zápis |
Vybraná skupina nebo uživatel může podat žádost o certifikát založený na této šabloně prostřednictvím automatického zápisu.
|
Nejčastěji se certifikáty používají pro zápis subjektu s povolením automatického zápisu. V tomto případě musí mít subjekt zajištěno oprávnění ke čtení, zápisu a automatickému zápisu.
Pokud si nepřejete automatický zápis uživatelů, chcete však mít dostupný ruční zápis nebo zápis založený na webu, je třeba mít uděleno oprávnění ke čtení a zápisu.
Jestliže subjekty již vlastní certifikáty, potřebují pouze oprávnění ke čtení a zápisu za účelem obnovy certifikátu, ať používají automatický zápis či nikoliv.
Oprávnění k zápisu (úpravám) a k úplnému řízení by mělo být uděleno pouze správcům CA, aby bylo zajištěno, že šablony nebudou nesprávně konfigurovány.