Az Active Directory tanúsítványszolgáltatások (AD CS) számos igénylési és megújítási módszert támogatnak, beleértve az ügyfél beavatkozását nem igénylő automatikus igénylést és a különféle interaktív igénylési módszereket, például a Tanúsítványkérelmező varázslót vagy az Active Directory tanúsítványszolgáltatások weblapjait.
Megjegyzés | |
Nem a Microsofttól származó hitelesítésszolgáltatók (CA), illetve egyéni hitelesítésigénylési és megújítási alkalmazások használata esetén el kell végezni a szóban forgó hitelesítésszolgáltatók és alkalmazások által megkövetelt beállításokat. |
A tanúsítványok ügyfél általi igénylésének módja elsősorban a tanúsítványsablon biztonsági tulajdonságaitól függ.
A tanúsítványsablonok kiszolgálón történő közzétételekor minden sablon tartalmaz egy hozzáférés-vezérlési listát (ACL), amely az egyes tulajdonosok által a tanúsítványokon végrehajtható műveleteket határozza meg.
Beállítás | Leírás | ||||
---|---|---|---|---|---|
Teljes hozzáférés |
A kijelölt csoport vagy felhasználó bármilyen műveletet végrehajthat ezen a sablonon. | ||||
Olvasás |
A kijelölt csoport vagy felhasználó jogosult a sablon olvasására. | ||||
Írás |
A kijelölt csoport vagy felhasználó jogosult a sablon módosítására. | ||||
Igénylés |
A kijelölt csoport vagy felhasználó jogosult a sablonon alapuló tanúsítvány- vagy megújítási kérelem benyújtására.
| ||||
Automatikus igénylés |
A kijelölt csoport vagy felhasználó automatikus igénylés segítségével küldheti el a sablonon alapuló tanúsítványkérelmet.
|
A tanúsítványok használatának legáltalánosabb módja a tulajdonosok általi automatikus igénylés. Ebben az esetben a tulajdonosnak Olvasás, Igénylés és Automatikus igénylés engedélyekre van szüksége.
Ha nem szeretné lehetővé tenni a felhasználók számára az automatikus igénylést, ám a manuális vagy webes igénylés lehetőségét biztosítani szeretné, az olvasási és igénylési engedélyek kiadásával érheti ezt el.
Ha egy tulajdonosnak már van tanúsítványa, a tanúsítvány megújításához csak Olvasás és Igénylés engedélyekre van szüksége, függetlenül attól, hogy használja-e az automatikus igénylést.
Írás és Teljes hozzáférés engedélyeket csak a hitelesítésszolgáltató-kezelőknek szabad kiadni, hogy elkerülhető legyen a sablonok helytelen konfigurálása.