Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) unterstützt verschiedene Registrierungs- und Erneuerungsmethoden, z. B. die automatische Registrierung ohne Clientinteraktion und interaktive Registrierungsmethoden wie den Zertifikatanforderungs-Assistenten und die Webseiten von AD CS.

Hinweis

Wenn Sie Nicht-Microsoft-Zertifizierungsstellen oder benutzerdefinierte Zertifikatregistrierungs- und -erneuerungsanwendungen bereitstellen, müssen Sie die Konfiguration für diese Zertifizierungsstellen und Anwendungen anpassen.

Wie ein Client ein Zertifikat erhält, wird in erster Linie durch die Sicherheitseigenschaften der Zertifikatvorlage gesteuert.

Wenn Zertifikatvorlagen auf einem Server veröffentlicht werden, enthält jede Vorlage eine Zugriffssteuerungsliste (Access Control List, ACL), durch die die konkreten Vorgänge definiert werden, die ein Antragsteller mit einem Zertifikat ausführen kann.

Einstellung Beschreibung

Vollzugriff

Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann alle Aktionen für die Vorlage ausführen.

Lesen

Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann die Vorlage lesen.

Schreiben

Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann die Vorlage ändern.

Registrieren

Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann eine auf dieser Vorlage basierende Zertfikatausstellungs- oder -erneuerungsanforderung senden.

Hinweis

Zum automatischen Abrufen von OCSP-Antwortsignaturzertifikaten benötigen Online-Responder-Dienstkonten die Berechtigung Registrieren, nicht die Berechtigung Automatisch registrieren.

Automatisch registrieren

Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann über die automatische Registrierung eine auf dieser Vorlage basierende Zertifikatanforderung senden.

Hinweis

Die Berechtigung Automatisch registrieren schließt die Berechtigung Registrieren nicht ein. Um die Berechtigung Automatisch registrieren zu verwenden, sollten Sie beide Berechtigungen erteilen.

Meistens werden Zertifikate für die Registrierung von Antragstellern mit zulässiger automatischer Registrierung verwendet. In diesem Fall müssen dem Antragsteller die Berechtigungen Lesen, Registrieren und Automatisch registrieren erteilt werden.

Wenn Sie Benutzer nicht automatisch registrieren möchten, aber eine manuelle oder webbasierte Registrierung zur Verfügung stellen möchten, sollten Sie die Berechtigungen Lesen und Registrieren erteilen.

Antragsteller, die bereits über ein Zertifikat verfügen, benötigen zum Erneuern dieses Zertifikats nur die Berechtigungen Lesen und Registrieren. Dabei spielt es keine Rolle, ob sie die automatische Registrierung verwenden.

Die Berechtigungen Schreiben und Vollzugriff sollten auf die Zertifikatverwaltung beschränkt werden, um fehlerhaft konfigurierte Vorlagen zu vermeiden.