Центр сертификации (ЦС) обрабатывает каждый запрос сертификата с помощью определенного набора правил. ЦС может выдавать некоторые сертификаты без проверки подлинности, но требовать подтверждение подлинности перед выдачей других типов сертификатов. Это предоставляет разные уровни гарантии для разных сертификатов. Эти уровни гарантии представлены в сертификатах политиками выдачи.
Политика выдачи (также называемая политикой регистрации или политикой сертификата) является группой административных правил, применяемых при выдаче сертификатов. Они представлены в сертификате идентификатором объекта (также называемым OID), определенным в ЦС. Идентификатор объекта включается в выдаваемый сертификат. Предъявляемый субъектом сертификат может быть рассмотрен адресатом, чтобы проверить политику выдачи и определить, достаточен ли этот уровень политики выдачи для выполнения запрошенного действия.
Windows Server 2008 R2, Windows Server 2008 и Windows Server 2003 включают четыре предопределенные политики выдачи.
-
Вся выдача (2.5.29.32.0). Политика «Вся выдача» означает, что она содержит все другие политики выдачи. Обычно только этот идентификатор объекта назначается сертификатам ЦС.
-
Низкая надежность (1.3.6.1.4.1.311.21.8.x.y.z.1.400). Идентификатор объекта с низкой надежностью используется для представления сертификатов, выдаваемых без дополнительных требований безопасности.
Примечание Часть x.y.z идентификатора объекта является последовательностью случайных чисел, уникальной для каждого леса Active Directory.
-
Средняя надежность (1.3.6.1.4.1.311.21.8.x.y.z.1.401). Идентификатор объекта со средней надежностью используется для представления сертификатов, имеющих дополнительные требования безопасности для выдачи. Например, сертификат смарт-карты, выданный при личной встрече с поставщиком смарт-карты, может считаться сертификатом со средней надежностью и содержать идентификатор объекта со средней надежностью.
-
Высокая надежность (1.3.6.1.4.1.311.21.8.x.y.z.1.402). Идентификатор объекта с высокой надежностью используется для представления сертификатов, выдаваемых с самым высоким уровнем безопасности. Например, выдача сертификата агента восстановления ключей может потребовать дополнительные фоновые проверки и цифровую подпись от назначенного утверждающего, поскольку обладающий таким сертификатом может восстанавливать материал закрытого ключа из ЦС предприятия.
Кроме того, можно создать свои собственные идентификаторы объектов, чтобы представлять пользовательские политики выдачи.
Когда субъекты подают запросы на сертификаты в ЦС, запросы либо автоматически принимаются, либо устанавливаются в состояние «ожидания». Состояние ожидания обычно используется для сертификатов, требующих более высокий уровень надежности и, следовательно, большее администрирование и дополнительную проверку запроса. Имеется ряд параметров, настраивающих требования к проверке подлинности и к подписи для сертификатов выдачи, основанных на шаблоне.
Параметр | Описание |
---|---|
Утверждение диспетчером сертификатов ЦС |
Все сертификаты помещаются в контейнер ожидания выдачи или отклонения диспетчером сертификатов. |
Это количество авторизованных подписей |
Этот параметр требует, чтобы до выдачи запроса на сертификат он был подписан цифровой подписью одним или несколькими субъектами. При этом задействуются несколько других параметров настройки. |
Тип политики, требуемый в подписи |
Подписи, требующиеся для выдачи сертификата, должны содержать либо политику конкретного применения, либо политику выдачи, либо и то и другое. Так ЦС определяет, подходит ли подпись для разрешения выдачи сертификата субъекта. Этот параметр включен, если выбран Указанное число авторизованных подписей . |
Политика применения |
Указывает политику применения, проверяемую при подписывании запроса на сертификат. Этот параметр включен, если В подписи требуется указать тип политики установлен либо в Политика применения, либо в Политика применения и политика выдачи. |
Политика выдачи |
Указывает политики выдачи, проверяемые при подписывании запроса на сертификат. Этот параметр включен, если В подписи требуется указать тип политики установлен либо в Политика выдачи, либо в Политика применения и политика выдачи. |
Возможность изменять или создавать новые политики применений доступна только для шаблонов сертификатов версий 2 и 3. Дополнительные сведения см. в разделе Шаблоны сертификатов по умолчанию.
Клиенты должны повторно подать заявку для получения сертификата, основанного на измененном шаблоне, если у них уже имеется действительный сертификат, основанный на предыдущем шаблоне. Дополнительные сведения о повторной подаче заявок клиентов см. в разделе Подача повторной заявки для всех владельцев сертификатов.
Минимальное требование для выполнения этой процедуры - членство в группе Администраторы домена или Администраторы предприятия или в эквивалентной группе. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
Для изменения политики выдачи |
Откройте оснастку «Шаблоны сертификатов».
В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется изменить, и выберите пункт Свойства.
Откройте вкладку Требования выдачи.
Предоставьте запрошенные сведения.