Los Servicios de certificados de Active Directory (AD CS) admiten varios métodos de inscripción y renovación, incluidos la inscripción automática sin interacción del cliente y métodos de inscripción interactiva como el Asistente para solicitud de certificados y las páginas web de AD CS.
 | Nota |
|
Si implementa entidades de certificación (CA) ajenas a Microsoft o aplicaciones de inscripción y renovación de certificados personalizadas, debe realizar la configuración que requieran dichas CA y aplicaciones. |
La manera en que un cliente obtiene un certificado se controla, en gran parte, mediante las propiedades de seguridad de la plantilla de certificado.
Cuando las plantillas de certificado se publican en un servidor, cada plantilla contiene una lista de control de acceso (ACL) que define las operaciones específicas que un sujeto puede realizar en un certificado.
| Opción | Descripción | ||||
|---|---|---|---|---|---|
|
Control total |
El usuario o grupo seleccionado puede realizar cualquier acción en esta plantilla. | ||||
|
Leer |
El usuario o grupo seleccionado puede leer esta plantilla. | ||||
|
Escribir |
El usuario o grupo seleccionado puede modificar esta plantilla. | ||||
|
Inscripción |
El usuario o grupo seleccionado puede enviar una solicitud de emisión o renovación de certificado basada en esta plantilla.
| ||||
|
Inscripción automática |
El usuario o grupo seleccionado puede enviar una solicitud de certificado basada en esta plantilla mediante una inscripción automática.
|
El uso más habitual de los certificados es para realizar inscripción de sujetos con la inscripción automática permitida. En este caso, el sujeto debe tener permisos de lectura, inscripción e inscripción automática.
Si no desea inscribir automáticamente a los usuarios, pero desea que la inscripción manual o a través de la web esté disponible, lo apropiado es conceder permisos de lectura e inscripción.
Si los sujetos ya poseen un certificado, sólo necesitarán permisos de lectura e inscripción para renovar dicho certificado, tanto si usan la inscripción automática como si no.
Los permisos de escritura y control total deben reservarse para los administradores de CA a fin de garantizar que las plantillas se configuren de forma adecuada.
-
Administración de plantillas de certificado
-
Configuración de la inscripción de certificados automática
-
Permitir a los sujetos solicitar un certificado basado en una plantilla
-
Volver a inscribir a todos los propietarios de certificados
-
Modificación de una directiva de emisión
-
Configuración de la publicación de certificados en los Servicios de dominio de Active Directory