Диспетчер сертификатов может утверждать запросы регистрации и отзыва сертификатов, выдавать сертификаты и управлять сертификатами. Эту роль можно настроить, назначая пользователю или группе разрешение на выдачу сертификатов и управление ими.
Назначив это разрешение пользователю или группе, можно впоследствии уточнить их возможность управлять сертификатами с помощью группы и шаблона сертификата. Например, может понадобиться реализовать ограничение, при котором диспетчеры сертификатов могут только утверждать запросы или отзывать сертификаты входа с помощью смарт-карт для пользователей в конкретном офисе или подразделении, которые служат основой группы безопасности.
Это ограничение основано на подмножестве шаблонов сертификатов, разрешенном для центра сертификации, и группах пользователей, обладающих разрешениями на регистрацию для этого шаблона сертификата из этого центра сертификации.
Чтобы выполнить эту процедуру, необходимо быть или администратором центра сертификации, или членом группы Администраторы предприятия, или обладать эквивалентными правами. Для получения дополнительных сведений см. Реализация ролевого администрирования.
Настройка ограничений диспетчеров сертификатов для центра сертификации |
Откройте оснастку "Центр сертификации" и щелкните правой кнопкой мыши имя центра сертификации.
Выберите команду Свойства, а затем выберите вкладку Безопасность .
Убедитесь, что выбранные пользователь или группа обладают разрешениями Выдавать сертификаты и управлять ими. Если они не обладают этими разрешениями, установите флажок Разрешить и затем нажмите кнопку Применить.
Выберите вкладку Диспетчеры сертификатов .
Щелкните Ограничивать диспетчеры сертификатов и убедитесь, что отображается имя группы или пользователя.
В разделе Шаблоны сертификатов нажмите кнопку Добавить, выберите шаблон для сертификатов, которыми должны управлять эти группа или пользователь, а затем нажмите кнопку ОК. Повторяйте эти действия, пока не будут выбраны все шаблоны сертификатов, которыми может управлять этот диспетчер сертификатов.
В разделе Разрешения нажмите кнопку Добавить, введите имя клиента, для которого диспетчер сертификатов должен управлять определенными типами сертификатов, а затем нажмите кнопку ОК.
Если нужно запретить диспетчеру сертификатов управлять сертификатами для конкретного пользователя, компьютера или группы, выберите в разделе Разрешения этого пользователя, этот компьютер или эту группу и нажмите кнопку Отказать.
Закончив настраивать ограничения для диспетчера сертификатов, нажмите кнопку ОК или Применить.