O proprietário da chave particular associada a um certificado é conhecido como a entidade. Essa pode ser um usuário, um programa ou praticamente qualquer objeto ou serviço.
Como a entidade pode variar enormemente, dependendo de quem ou do que seja, é preciso que haja alguma flexibilidade no momento de fornecer o nome da entidade na solicitação de certificados. O Windows pode criar o nome da entidade de forma automática ou solicitá-lo da entidade manualmente. Se o nome for fornecido automaticamente, o Windows obterá as informações do Active Directory.
Você pode configurar este processo para incluir ou excluir informações úteis no ambiente. Se a configuração exigir que o nome da entidade seja fornecido manualmente, a entidade fornecerá essa informação na solicitação de certificado, por exemplo, usando as páginas de registro baseadas na Web.
Nomes de entidades em certificados podem ser apresentados usando este formatos:
-
Nome comum. A autoridade de certificação cria o nome da entidade a partir do nome comum obtido no Active Directory. Esse nome deve ser exclusivo em um domínio, mas poderá não ser exclusivo na empresa.
-
Nome totalmente distinto (DN). A autoridade de certificação cria o nome da entidade a partir do nome totalmente distinto obtido no Active Directory. Isso garante que o nome seja exclusivo na empresa.
-
Incluir nome de email no nome da entidade Se o campo de nome de email estiver preenchido no objeto de usuário do Active Directory, esse nome será incluído com o nome comum ou com o totalmente distinto como parte do nome da entidade.
-
Nenhum. Um valor de nome não é necessário para esse certificado.
Estas opções alternativas de nomes de entidades também podem ser especificadas:
-
Nome de email. Se o campo de nome de email estiver preenchido no objeto de usuário do Active Directory, o nome será usado.
-
Nome DNS Nome de domínio totalmente qualificado (FQDN) da entidade que solicitou o certificado. Isso é mais usado em certificados de computadores
-
UPN (nome principal do usuário). O nome principal de usuário é parte do objeto de usuário do Active Directory e será usado.
-
Nome principal de serviço (SPN). O nome principal de serviço é parte do objeto de computador do Active Directory e será usado.