Active Directory-certifikattjänster (AD CS) har funktioner för flera metoder för registrering och förnyelse, däribland automatisk registrering utan klientinblandning och interaktiva registreringsmetoder, som guiden Certifikatbegäran och webbplatsen för AD CS.

OBS

Om du använder certifikatutfärdare som inte kommer från Microsoft eller om du använder egna program för certifikatregistrering och förnyelse, måste du utföra de konfigurationssteg som eventuellt krävs för den typen av certifikatutfärdare och program.

Hur en klient hämtar ett certifikat styrs till stor del av certifikatmallens säkerhetsegenskaper.

När certifikatmallar publiceras på en server innehåller varje mall en åtkomstskontrollista, som anger vilka åtgärder ett ämne kan utföra med ett certifikat.

Inställning Beskrivning

Fullständig behörighet

Den valda gruppen eller användaren kan utföra alla åtgärder i mallen.

Läsa

Den valda gruppen eller användaren kan läsa mallen.

Skriva

Den valda gruppen eller användaren kan ändra i mallen.

Registrera

Den valda gruppen eller användaren kan skicka förfrågan om utgivning eller förnyelse av certifikatet baserat på den här mallen.

OBS

Om du automatiskt vill hämta OCSP-certifikat för svarssignering, krävs behörigheten Registrera för kontona för tjänsten Onlinesvarare, inte Registrera automatiskt.

Automatisk registrering

Den valda gruppen eller användaren kan skicka certifikatförfrågan baserat på den här mallen via automatisk registrering.

OBS

I behörigheten Registrera automatiskt ingår inte behörigheten Registrera. Om du vill använda behörigheten Registrera automatiskt beviljar du båda behörigheterna.

Det vanligaste är att certifikat används för ämnesregistrering med tillåten automatisk registrering. Då måste ämnet ha behörighet att läsa, registrera och registrera automatiskt.

Om du inte vill att användare ska registreras automatiskt, men vill aktivera manuell eller webbaserad registrering, kan det vara lämpligt att bevilja läsbehörighet och registreringsbehörighet.

Om ämnen redan har ett certifikat behöver de endast läsbehörighet och registreringsbehörighet för att förnya det certifikatet, oavsett om de använder automatisk registrering eller inte.

Skrivbehörighet och fullständig behörighet bör begränsas till certifikatutfärdarhanterare, så att mallarna inte konfigureras i onödan.