Utfärda certifikat baserade på certifikatmallar

Active Directory-certifikattjänster (AD CS) har funktioner för flera metoder för registrering och förnyelse, däribland automatisk registrering utan klientinblandning och interaktiva registreringsmetoder, som guiden Certifikatbegäran och webbplatsen för AD CS.

	OBS
	Om du använder certifikatutfärdare som inte kommer från Microsoft eller om du använder egna program för certifikatregistrering och förnyelse, måste du utföra de konfigurationssteg som eventuellt krävs för den typen av certifikatutfärdare och program.

Hur en klient hämtar ett certifikat styrs till stor del av certifikatmallens säkerhetsegenskaper.

När certifikatmallar publiceras på en server innehåller varje mall en åtkomstskontrollista, som anger vilka åtgärder ett ämne kan utföra med ett certifikat.

Inställning	Beskrivning
Fullständig behörighet	Den valda gruppen eller användaren kan utföra alla åtgärder i mallen.
Läsa	Den valda gruppen eller användaren kan läsa mallen.
Skriva	Den valda gruppen eller användaren kan ändra i mallen.
Registrera	Den valda gruppen eller användaren kan skicka förfrågan om utgivning eller förnyelse av certifikatet baserat på den här mallen. OBS Om du automatiskt vill hämta OCSP-certifikat för svarssignering, krävs behörigheten Registrera för kontona för tjänsten Onlinesvarare, inte Registrera automatiskt.
Automatisk registrering	Den valda gruppen eller användaren kan skicka certifikatförfrågan baserat på den här mallen via automatisk registrering. OBS I behörigheten Registrera automatiskt ingår inte behörigheten Registrera. Om du vill använda behörigheten Registrera automatiskt beviljar du båda behörigheterna.

Det vanligaste är att certifikat används för ämnesregistrering med tillåten automatisk registrering. Då måste ämnet ha behörighet att läsa, registrera och registrera automatiskt.

Om du inte vill att användare ska registreras automatiskt, men vill aktivera manuell eller webbaserad registrering, kan det vara lämpligt att bevilja läsbehörighet och registreringsbehörighet.

Om ämnen redan har ett certifikat behöver de endast läsbehörighet och registreringsbehörighet för att förnya det certifikatet, oavsett om de använder automatisk registrering eller inte.

Skrivbehörighet och fullständig behörighet bör begränsas till certifikatutfärdarhanterare, så att mallarna inte konfigureras i onödan.

• Hantera certifikatmallar
  
  
• Ställa in automatisk certifikatregistrering
  
  
• Tillåta att ämnen begär ett certifikat baserat på en mall
  
  
• Omregistrera alla certifikatinnehavare
  
  
• Ändra en utgivningsprincip
  
  
• Konfigurera certifikatpublicering i Active Directory Domain Services