Держатель закрытого ключа, связанного с сертификатом, называется субъектом. Это может быть пользователь, программа или любой виртуальный объект, компьютер или служба.
Предоставление имени в запросе сертификата должно обладать достаточной гибкостью в связи с большим разнообразием типов субъектов. В системе Windows имя субъекта может формироваться автоматически на основании сведений, хранящихся в доменных службах Active Directory, или указываться вручную субъектом (например, с использованием веб-страниц регистрации сертификатов для создания и передачи запроса сертификата).
В центрах сертификации предприятий имеется оснастка «Шаблоны сертификатов» для настройки шаблонов сертификатов. Параметры имени субъекта можно настроить на вкладке Имя субъекта на странице свойств шаблона сертификата.
Предоставление в запросе
Когда выбран параметр Предоставляется в запросе, становится доступным параметр Использовать данные о субъекте из существующих сертификатов для запросов возобновления автоматической регистрации, позволяющий упростить задачу добавления имени субъекта в запрос обновления сертификата и разрешить автоматическое обновление сертификатов компьютера. Для автоматического обновления сертификатов пользователей не используются сведения о субъекте из существующих сертификатов.
Благодаря параметру Использовать данные о субъекте из существующих сертификатов для запросов возобновления автоматической регистрации клиент регистрации сертификата может прочитать имя и альтернативное имя субъекта из существующего сертификата компьютера, созданного на основании того же шаблона сертификата, при автоматическом создании запросов на обновление или использовании оснастки «Сертификаты». Это применимо к сертификатам компьютера с истекшим сроком действия, отозванным или находящимся в состоянии обновления.
Построение на основе данных Active Directory
Когда выбран параметр Строится на основе данных Active Directory, можно настроить следующие дополнительные параметры.
Формат имени субъекта
| Параметр | Описание |
|---|---|
Общее имя | Центр сертификации создает имя субъекта на основе обычного имени, полученного из доменных служб Active Directory. Эти имена уникальны внутри домена, но могут повторяться в рамках предприятия. |
Полное различающееся имя | Центр сертификации создает имя субъекта на основе полного различающегося имени, полученного из доменных служб Active Directory. Это обеспечивает уникальность имени внутри предприятия. |
Включить имя электронной почты в имя субъекта | Если поле имени электронной почты заполнено в объекте «пользователь» в Active Directory, это имя включается в имя субъекта как часть общего имени или полного различающегося имени. |
Отсутствует | Для сертификата не требуется значение имени. |
Включить эту информацию в альтернативное имя субъекта
| Параметр | Описание |
|---|---|
Имя электронной почты | Если поле имени электронной почты заполнено в объекте «пользователь» в Active Directory, это имя используется. |
DNS-имя | Полное доменное имя (FQDN) субъекта, запрашивающего сертификат. Наиболее часто используется в сертификатах компьютеров. |
Имя участника-пользователя (UPN) | Будет использовано имя участника-пользователя, являющееся частью объекта «пользователь» в Active Directory. |
Имя участника-службы (SPN) | Будет использовано имя участника-службы, являющееся частью объекта «компьютер» в Active Directory. |