Urzędy certyfikacji przedsiębiorstwa mogą wystawiać certyfikaty dla takich celów, jak podpisy cyfrowe, zabezpieczanie poczty e-mail przy użyciu aplikacji S/MIME (Secure Multipurpose Internet Mail Extensions), uwierzytelnianie na bezpiecznym serwerze sieci Web przy użyciu protokołu SSL (Secure Sockets Layer) lub TLS (Transport Layer Security) oraz logowanie do domeny przy użyciu karty inteligentnej.
Urząd certyfikacji przedsiębiorstwa ma następujące właściwości:
-
Wymaga dostępu do usług domenowych w usłudze Active Directory (AD DS).
-
Używa zasad grupy do propagowania swojego certyfikatu w magazynie certyfikatów Zaufane główne urzędy certyfikacji dla wszystkich użytkowników i komputerów w domenie.
-
Publikuje certyfikaty użytkowników i listy odwołania certyfikatów (CRL) w usługach domenowych w usłudze Active Directory. Aby było możliwe publikowanie certyfikatów w usługach domenowych w usłudze Active Directory, serwer, na którym jest zainstalowany urząd certyfikacji, musi być członkiem grupy Wydawcy certyfikatów. W przypadku domeny, do której należy serwer, dzieje się tak automatycznie. Jednak w celu publikowania certyfikatów w innych domenach serwerowi należy przyznać odpowiednie uprawnienia zabezpieczeń.
Uwaga | |
Aby zainstalować główny urząd certyfikacji przedsiębiorstwa, użytkownik musi być członkiem grupy Administratorzy domeny lub administratorem mającym prawo do zapisu w usługach domenowych w usłudze Active Directory. |
Urząd certyfikacji przedsiębiorstwa wystawia certyfikaty na podstawie szablonu certyfikatu. W przypadku korzystania z szablonów certyfikatów są dostępne następujące funkcje:
-
Urzędy certyfikacji przedsiębiorstwa wymuszają sprawdzanie poświadczeń użytkowników podczas rejestrowania certyfikatów. Każdy szablon certyfikatu ma ustawione w usługach domenowych w usłudze Active Directory uprawnienia zabezpieczeń, które określają, czy użytkownik żądający certyfikatu jest upoważniony do otrzymania certyfikatu żądanego typu.
-
Nazwa podmiotu certyfikatu może zostać wygenerowana automatycznie na podstawie informacji w usługach AD DS lub jawnie podana przez stronę żądającą.
-
Moduł zasad dodaje do wystawionego certyfikatu wstępnie zdefiniowaną listę rozszerzeń certyfikatu. Rozszerzenia są definiowane według szablonu certyfikatu. Dzięki temu użytkownik żądający certyfikatu musi podać mniej informacji na temat certyfikatu i jego zamierzonego użycia.
-
Do wystawiania certyfikatów można używać funkcji autorejestrowania.