En certifikatutfärdare behandlar varje certifikatbegäran utifrån en särskild uppsättning regler. Certifikatutfärdaren kan utfärda vissa certifikat utan bekräftelse för identifiering och kräva bekräftelse för identifiering för andra typer av certifikat som ska utfärdas. På så sätt skapas olika säkerhetsnivåer för olika certifikat. Dessa olika säkerhetsnivåer representeras i certifikaten av utgivningsprinciper.
En utgivningsprincip (kallas även registreringsprincip eller certifikatprincip) är en uppsättning administrativa regler som implementeras vid utfärdandet av certifikat. De representeras i certifikatet av en objektidentifierare (OID) som definieras i certifikatutfärdaren. Objektidentifieraren är inkluderad i det utfärdade certifikatet. När ett ämne presenterar ett certifikat kan detta undersökas av målet för att kontrollera utgivningsprincipen och avgöra om utgivningsprincipsnivån är tillräckligt hög för den begärda åtgärden.
I Windows Server 2008 R2, Windows Server 2008 och Windows Server 2003 finns fyra fördefinierade utgivningsprinciper:
-
Alla utfärdningsprinciper (2.5.29.32.0). Den här utgivningsprincipen anger att utgivningsprincipen innehåller alla andra utgivningsprinciper. Den här objektidentifieraren tilldelas vanligen endast certifikatutfärdarcertifikat.
-
Låg säkerhet (1.3.6.1.4.1.311.21.8.x.y.z.1.400). Den här objektidentifieraren används för certifikat som utfärdas utan ytterligare säkerhetskrav.
OBS Delen x.y.z i objektidentifieraren är en slumpvis genererad siffersekvens som är unik för varje Active Directory-skog.
-
Mellanhög säkerhet (1.3.6.1.4.1.311.21.8.x.y.z.1.401). Den här objektidentifieraren används för certifikat som har ytterligare säkerhetskrav för utfärdande. Ett smartkortscertifikat som utfärdas av en smartkortsutfärdare vid ett personligt möte kan anses ha medelhög säkerhet och innehålla objektidentifieraren för medelhög säkerhet.
-
Hög säkerhet (1.3.6.1.4.1.311.21.8.x.y.z.1.402). Den här objektidentifieraren används för certifikat som utfärdas med högsta säkerhet. Vid utfärdandet av ett certifikat för nyckelåterställningsagent kan det exempelvis krävas extra bakgrundskontroller och en digital signatur från en godkänd kontrollant, eftersom den person som har ett sådant certifikat kan återställa material om en privat nyckel från en företagscertifikatutfärdare.
Du kan dessutom skapa egna objektidentifierare för egna utgivningsprinciper.
När ett ämne skickar en certifikatförfrågan till en certifikatutfärdare kan förfrågan antingen godkännas automatiskt eller försättas i väntläge. Väntläget används vanligen för certifikat som kräver högre säkerhetsnivå och därmed mer administration och vidare verifikation av begäran. Det finns ett antal inställningar som kan användas för att konfigurera autentiseringskrav och signaturkrav för utfärdande av certifikat baserade på en mall.
Inställning | Beskrivning |
---|---|
Certifikatutfärdarens certifikathanterare godkänner registreringen |
Samtliga certifikat placeras i en behållare i väntan på att en certifikathanterare ska utfärda eller neka dem. |
Följande antal godkända signaturer |
När den här inställningen har valts krävs en digital signatur från minst ett ämne innan certifikatbegäran kan utfärdas. På så sätt aktiveras flera andra konfigurationsparametrar. |
Principtyp som krävs i signaturen |
De signaturer som krävs för att utfärda ett certifikat måste innehålla en specifik användningsprincip, en specifik utgivningsprincip eller bådadera. På så sätt kan certifikatutfärdaren avgöra om signaturen räcker för att godkänna utfärdande av certifikatet. Du aktiverar alternativet genom att ställa in Följande antal godkända signaturer. |
Användningsprincip |
Anger vilken användningsprincip man ska verifiera vid signering av certifikatbegäran. Du aktiverar alternativet genom att ställa in Principtyp som krävs i signaturen på Användningsprincip eller Både användnings- och utgivningsprincip. |
Utgivningsprincip |
Anger vilken utgivningsprincip man ska verifiera vid signering av certifikatbegäran. Du aktiverar alternativet genom att ställa in Principtyp som krävs i signaturen på Utgivningsprincip eller Både användnings- och utgivningsprincip. |
Om du vill ändra eller skapa nya användningsprinciper måste du ha version 2 eller version 3 av certifikatmallarna. Mer information finns i Standardcertifikatmallar.
Klienter som vill få ett certifikat baserat på en ändrad mall, men som redan har ett giltigt certifikat baserat på en tidigare mall, måste omregistreras. Mer information om omregistrering av klienter finns i Omregistrera alla certifikatinnehavare.
Minimikravet för att kunna slutföra proceduren är att du är medlem i någon av grupperna Domänadministratörer, Företagsadministratörer eller motsvarande. Mer information finns i Implementera rollbaserad administration.
Ändra en utgivningsprincip |
Öppna snapin-modulen Certifikatmallar.
Högerklicka på den certifikatmall som du vill ändra och klicka sedan på Egenskaper.
Klicka på fliken Krav för utfärdande.
Ange den information som efterfrågas.