Ondernemings-CA's kunnen certificaten verlenen voor verschillende doeleinden, zoals digitale handtekeningen, beveiligde e-mail met S/MIME (Secure Multipurpose Internet Mail Extensions), verificatie bij een beveiligde webserver met SSL (Secure Sockets Layer) of TLS (Transport Layer Security) en aanmelding bij een domein met een smartcard.
Een ondernemings-CA heeft de volgende kenmerken:
-
Vereist toegang tot AD DS (Active Directory Domain Services).
-
Gebruikt Groepsbeleid om het CA-certificaat door te geven aan het archief met vertrouwde basiscertificeringsinstanties voor alle gebruikers en computers in het domein.
-
Geeft gebruikerscertificaten en certificaatintrekkingslijsten (CRL's) uit naar AD DS. De server waarop de CA is geïnstalleerd, moet lid zijn van de groep Certificaatuitgevers om certificaten te kunnen uitgeven naar AD DS. Dit is automatisch het geval voor het domein waarin de server zich bevindt, maar aan de server moeten de juiste beveiligingsmachtigingen worden overgedragen om certificaten in andere domeinen uit te geven.
Opmerking | |
U moet lid zijn van de groep Domeinadministrators of een beheerder zijn met schrijftoegang voor AD DS om een basisondernemings-CA te installeren. |
Door een ondernemings-CA worden certificaten verleend op basis van een certificaatsjabloon. De volgende functionaliteit is mogelijk wanneer u certificaatsjablonen gebruikt:
-
Door ondernemings-CA's worden referentiecontroles voor gebruikers afgedwongen tijdens de certificaatinschrijving. Voor elke certificaatsjabloon is in AD DS een beveiligingsmachtiging ingesteld die bepaalt of de aanvrager van het certificaat gemachtigd is om het aangevraagde type certificaat te ontvangen.
-
De naam van de certificaathouder kan automatisch worden gegenereerd op basis van de gegevens in AD DS of expliciet worden opgegeven door de aanvrager.
-
Door de beleidsmodule wordt een vooraf gedefinieerde lijst met certificaatuitbreidingen toegevoegd aan het verleende certificaat. De uitbreidingen worden gedefinieerd door de certificaatsjabloon. Hierdoor hoeft een certificaataanvrager minder informatie op te geven over het certificaat en waarvoor het zal worden gebruikt.
-
Voor de verlening van certificaten kan automatische inschrijving worden gebruikt.