Usługi certyfikatów w usłudze Active Directory (AD CS) obsługują różnorodne metody rejestrowania i odnawiania, w tym metody autorejestrowania bez żadnej interakcji z klientem i interakcyjnego rejestrowania, takie jak Kreator żądania certyfikatów i strony sieci Web usług AD CS.

Uwaga

W przypadku wdrożenia urzędów certyfikacji innych niż urzędy firmy Microsoft lub niestandardowych aplikacji rejestrowania i odnawiania certyfikatów, należy wykonać wszelkie czynności w zakresie konfiguracji, które są wymagane dla tych urzędów certyfikacji i aplikacji.

Sposób uzyskiwania certyfikatu przez klienta jest określany głównie przez właściwości zabezpieczeń szablonu certyfikatu.

Po opublikowaniu szablonów certyfikatów na serwerze każdy szablon zawiera listę kontroli dostępu (ACL) definiującą określone operacje, które może wykonać podmiot za pomocą certyfikatu.

Ustawienie Opis

Pełna kontrola

Wybrana grupa lub użytkownik mogą wykonywać dowolne akcje na tym szablonie.

Odczyt

Wybrana grupa lub użytkownik mogą odczytywać ten szablon.

Zapis

Wybrana grupa lub użytkownik mogą modyfikować ten szablon.

Rejestrowanie się

Wybrana grupa lub użytkownik mogą przesyłać żądania wystawienia lub odnowienia certyfikatu opartego na tym szablonie.

Uwaga

Aby automatycznie pobierać certyfikaty Podpisywanie odpowiedzi protokołu OCSP, konta usługi obiektów odpowiadających w trybie online wymagają uprawnienia Rejestrowanie, a nie Autorejestrowanie.

Autorejestrowanie

Wybrana grupa lub użytkownik mogą przesyłać żądania certyfikatu opartego na tym szablonie przez autorejestrowanie.

Uwaga

Uprawnienie Autorejestrowanie nie obejmuje uprawnienia Rejestrowanie. Aby używać uprawnienia Autorejestrowanie, należy udzielić obu uprawnień.

Certyfikatów najczęściej używa się do rejestrowania podmiotu z dozwolonym autorejestrowaniem. W tym przypadku podmiot musi mieć przyznane uprawnienia Odczyt, Rejestrowanie się i Autorejestrowanie.

Jeśli autorejestrowanie użytkowników ma być niedozwolone, a jednocześnie rejestrowanie się ręczne oraz za pośrednictwem strony sieci Web ma być możliwe, należy udzielić uprawnień Odczyt i Rejestrowanie.

Podmioty, które mają już certyfikaty, potrzebują tylko uprawnień Odczyt i Rejestrowanie się do odnawiania tych certyfikatów niezależnie od tego, czy korzystają z autorejestrowania.

Uprawnienia Zapis i Pełna kontrola powinny być udzielane tylko menedżerom urzędu certyfikacji w celu zagwarantowania, że szablony nie są nieprawidłowo konfigurowane.

Spis treści