Urząd certyfikacji przetwarza każde żądanie certyfikatu za pomocą zdefiniowanego zestawu reguł. Urząd certyfikacji może wystawiać niektóre certyfikaty bez dowodu identyfikacji, a wymagać dowodu identyfikacji przed wystawieniem innych typów certyfikatów. Zapewnia to różne poziomy gwarancji dla różnych certyfikatów. Te poziomy gwarancji są przedstawione w certyfikatach jako zasady wystawiania.

Zasada wystawiania (nazywana też zasadą rejestracji lub zasadą certyfikatu) to grupa reguł administracyjnych, które są implementowane podczas wystawiania certyfikatów. Reguły te są przedstawione w certyfikacie przez identyfikator obiektu (znany także jako OID), który jest zdefiniowany w urzędzie certyfikacji. Identyfikator obiektu jest dołączony do wystawionego certyfikatu. Obiekt docelowy może sprawdzić certyfikat przedstawiony przez podmiot w celu zweryfikowania zasady wystawiania i stwierdzenia, czy poziom zasady wystawiania jest wystarczający do wykonania żądanej akcji.

Systemy Windows Server 2008 R2, Windows Server 2008 i Windows Server 2003 zawierają cztery wstępnie zdefiniowane zasady wystawiania:

  • Wszystkie zasady wystawiania (2.5.29.32.0). Zasada Wszystkie zasady wystawiania wskazuje, że ta zasada wystawiania zawiera wszystkie inne zasady wystawiania. Zazwyczaj ten identyfikator obiektu jest przypisany tylko do certyfikatów urzędu certyfikacji.

  • Słaba gwarancja (1.3.6.1.4.1.311.21.8.x.y.z.1.400). Identyfikator obiektu słabej gwarancji jest używany do przedstawiania certyfikatów, które są wystawiane bez żadnych dodatkowych wymagań w zakresie zabezpieczeń.

    Uwaga

    Część x.y.z identyfikatora obiektu to losowo wygenerowana sekwencja liczbowa, która jest unikatowa dla każdego lasu usługi Active Directory.

  • Średnia gwarancja (1.3.6.1.4.1.311.21.8.x.y.z.1.401). Identyfikator obiektu średniej gwarancji jest używany do przedstawiania certyfikatów, do wystawienia których jest konieczne spełnienie dodatkowych wymagań w zakresie zabezpieczeń. Na przykład certyfikat karty inteligentnej wystawiony na bezpośrednim spotkaniu z wystawcą karty inteligentnej może być uważany za certyfikat średniej gwarancji i zawierać identyfikator obiektu średniej gwarancji.

  • Silna gwarancja (1.3.6.1.4.1.311.21.8.x.y.z.1.402). Identyfikator obiektu silnej gwarancji jest używany do przedstawiania certyfikatów, które są wystawiane z najwyższym poziomem zabezpieczeń. Na przykład wystawianie certyfikatu agenta odzyskiwania kluczy może wymagać dodatkowego sprawdzania w tle i podpisu cyfrowego od wyznaczonej osoby zatwierdzającej, ponieważ osoba mająca ten certyfikat może odzyskać materiał klucza prywatnego z urzędu certyfikacji przedsiębiorstwa.

Ponadto można tworzyć własne identyfikatory obiektów do przedstawiania niestandardowych zasad wystawiania.

Gdy podmioty przesyłają żądania certyfikatów do urzędu certyfikacji, te żądania mogą być zatwierdzane automatycznie lub umieszczane w stanie oczekiwania. Stan oczekiwania jest zazwyczaj używany dla certyfikatów wymagających wyższego poziomu gwarancji, który wymaga wykonania większej liczby czynności administracyjnych oraz bardziej szczegółowej weryfikacji żądania. Istnieje kilka ustawień, za pomocą których można skonfigurować wymagania uwierzytelniania i wymagania podpisu dla wystawiania certyfikatów opartych na szablonie.

Ustawienie Opis

Zgoda menedżera certyfikatów urzędu certyfikacji

Wszystkie certyfikaty są umieszczane w kontenerze oczekiwania dla menedżera certyfikatów do wystawiania lub odmowy wystawienia.

Liczba autoryzowanych podpisów

To ustawienie wymaga cyfrowego podpisania żądania certyfikatu przez jeden lub kilka podmiotów, aby można było wystawić certyfikat. To ustawienie włącza kilka innych parametrów konfiguracji.

Typ zasady wymagany w podpisie

Podpisy wymagane do wystawienia certyfikatu muszą zawierać określoną zasadę aplikacji lub zasadę wystawiania albo obie te zasady. W ten sposób urząd certyfikacji określa, czy podpis jest odpowiedni do autoryzowania wystawiania certyfikatu podmiotu. Ta opcja jest włączona, jeśli ustawiono opcję Liczba autoryzowanych podpisów.

Zasada aplikacji

Określa zasady aplikacji, które mają być weryfikowane podczas podpisywania żądania certyfikatu. Ta opcja jest włączona, jeśli dla opcji Typ zasady wymagany w podpisie ustawiono wartość Zasada aplikacji albo wartość Zasada aplikacji i zasada wystawiania.

Zasada wystawiania

Określa zasady wystawiania, które mają być weryfikowane podczas podpisywania żądania certyfikatu. Ta opcja jest włączona, jeśli dla opcji Typ zasady wymagany w podpisie ustawiono wartość Zasada wystawiania albo wartość Zasada aplikacji i zasada wystawiania.

Możliwość modyfikowania lub tworzenia nowych zasad aplikacji istnieje tylko w przypadku szablonów certyfikatów w wersji 2 i w wersji 3. Aby uzyskać więcej informacji, zobacz Domyślne szablony certyfikatów.

Klienci muszą zostać ponownie zarejestrowani, aby otrzymać certyfikat oparty na zmodyfikowanym szablonie, jeśli już mają ważny certyfikat oparty na poprzednim szablonie. Aby uzyskać więcej informacji na temat ponownego rejestrowania klientów, zobacz Ponowne rejestrowanie wszystkich posiadaczy certyfikatów.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub Administratorzy przedsiębiorstwa albo równoważnej. Aby uzyskać więcej informacji, zobacz Implementowanie administrowania opartego na rolach.

Aby zmodyfikować zasadę wystawiania

  1. Otwórz przystawkę Szablony certyfikatów.

  2. W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Właściwości.

  3. Kliknij kartę Wymagania wystawiania.

  4. Wprowadź wymagane informacje.

Dodatkowe informacje

Spis treści