Центры сертификации предприятий могут выдавать сертификаты для таких целей, как цифровые подписи, безопасная электронная почта с использованием стандарта S/MIME, проверка подлинности на безопасном веб-сервере с использованием протокола SSL или TLS и вход в домен с помощью смарт-карты.
Центр сертификации предприятия обладает следующими характеристиками:
-
Требует доступа к службе AD DS.
-
Использует групповую политику для распространения своего сертификата в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене.
-
Публикует сертификаты пользователей и списки отзыва сертификатов (CRL) в службе AD DS. Для публикации сертификатов в службе AD DS сервер, на котором установлен центр сертификации, должен быть членом группы "Издатели сертификатов". Это происходит автоматически для домена, в котором находится сервер, но для публикации сертификатов в других доменах серверу должны быть делегированы соответствующие разрешения безопасности.
 | Примечание |
|
Для установки корневого центра сертификации предприятия необходимо быть членом группы Администраторы домена или администратором с правом записи в службу AD DS. |
Центр сертификации предприятия выдает сертификаты на основе шаблона сертификатов. При использовании шаблонов сертификатов возможны следующие функции:
-
Центры сертификации предприятия принудительно проверяют учетные данные для пользователей во время регистрации сертификатов. У каждого шаблона сертификатов есть набор разрешений безопасности в службе AD DS, определяющий, разрешено ли запрашивающей стороне получать сертификат запрошенного типа.
-
Имя субъекта сертификата может быть создано автоматически из данных, имеющихся в доменных службах Active Directory, или предоставлено явным образом запрашивающей стороной.
-
Модуль политики добавляет предопределенный список расширений сертификата для выданного сертификата. Расширения определяются шаблоном сертификатов. Это уменьшает объем данных, которые должна предоставлять запрашивающая сторона о сертификате и цели его использования.
-
Для выдачи сертификатов может использоваться автоматическая регистрация.