Servizi certificati Active Directory è in grado di supportare un'ampia gamma di metodi di registrazione e rinnovo, inclusi i metodi di registrazione automatica senza interazione del client e quelli di registrazione interattiva, ad esempio la Richiesta guidata certificato e le pagine Web di Servizi certificati Active Directory.
Nota | |
Se si distribuiscono Autorità di certificazione (CA) non Microsoft o applicazioni di registrazione e rinnovo dei certificati personalizzate, sarà necessario eseguire le attività di configurazione richieste per tali CA e applicazioni. |
Il modo in cui un client ottiene un certificato è determinato principalmente dalle proprietà di sicurezza del modello di certificato.
Quando i modelli di certificato vengono pubblicati su un server, in ognuno di essi è contenuto un elenco di controllo di accesso (ACL, Access Control List) in cui sono definite le operazioni specifiche che un soggetto può eseguire con un certificato.
Impostazione | Descrizione | ||||
---|---|---|---|---|---|
Controllo completo |
Il gruppo o l'utente selezionato può eseguire qualsiasi operazione sul modello. | ||||
Lettura |
Il gruppo o l'utente selezionato può leggere il modello. | ||||
Scrittura |
Il gruppo o l'utente selezionato può modificare il modello. | ||||
Registrazione |
Il gruppo o l'utente selezionato può inviare una richiesta di rilascio o rinnovo di un certificato basata sul modello.
| ||||
Registrazione automatica |
Il gruppo o l'utente selezionato può inviare una richiesta di certificato basata sul modello mediante la registrazione automatica.
|
I certificati in genere vengono utilizzati per la registrazione di un soggetto con la registrazione automatica consentita. In questo caso, è necessario concedere al soggetto le autorizzazioni di lettura, registrazione e registrazione automatica.
Se non si desidera che gli utenti vengano registrati in modo automatico, ma allo stesso tempo si preferisce non rendere disponibile la registrazione manuale o basata sul Web, è consigliabile concedere le autorizzazioni di lettura e registrazione.
Quando i soggetti possiedono già un certificato, necessitano solo delle autorizzazioni di lettura e registrazione per rinnovare il certificato, indipendentemente dal fatto che utilizzino o meno la registrazione automatica.
È consigliabile riservare le autorizzazioni di scrittura e controllo completo ai gestori di CA per evitare che i modelli vengano configurati in modo non appropriato.
-
Gestire modelli di certificato
-
Impostare la registrazione automatica dei certificati
-
Consentire ai soggetti di richiedere un certificato basato su un modello
-
Registrare nuovamente tutti i possessori di certificati
-
Modificare un criterio di rilascio
-
Configurare la pubblicazione dei certificati in Servizi di dominio Active Directory