Sertifika yetkilisi (CA) her sertifika isteğini, tanımlanmış bir kural kümesi kullanarak işler. CA bazı sertifikaları herhangi bir kimlik kanıtlama olmadan verebildiği gibi, diğer bazı sertifika türleri verilmeden önce kimlik kanıtlama gerektirebilir. Bu da farklı sertifikalar için farklı güvence düzeyleri sağlar. Bu güvence düzeyleri sertifikalarda, verme ilkeleri olarak gösterilir.
Verme ilkesi (kayıt veya sertifika ilkesi de denir), sertifika verirken uygulanan bir grup yönetim kuralıdır. Bunlar sertifikada, CA'da tanımlanan bir nesne tanımlayıcısıyla (OID de denir) gösterilir. Bu nesne tanımlayıcısı verilen sertifikaya eklenir. Bir kaynak sertifikasını sunduğunda, bu sertifika verme ilkesini doğrulamak ve söz konusu verme ilkesi düzeyinin istenen eylemi gerçekleştirmek için yeterli olup olmadığını belirlemek üzere hedef tarafından incelenebilir.
Windows Server 2008 R2, Windows Server 2008 ve Windows Server 2003, önceden tanımlanmış dört verme ilkesi içerir:
-
Bütün Verme (2.5.29.32.0). Bütün verme ilkesi, verme ilkesinin diğer tüm verme ilkelerini içerdiğini gösterir. Genellikle bu nesne tanımlayıcısı yalnızca CA sertifikalarına atanır.
-
Düşük Güvence (1.3.6.1.4.1.311.21.8.x.y.z.1.400). Düşük güvence nesne tanımlayıcısı, ek güvenlik gereksinimleri olmaksızın verilen sertifikaları göstermek için kullanılır.
Not Nesne tanımlayıcısının x.y.z bölümü, her Active Directory ormanı için benzersiz olan, rasgele olarak üretilen bir sayı dizisidir.
-
Orta Güvence (1.3.6.1.4.1.311.21.8.x.y.z.1.401). Orta güvence nesne tanımlayıcısı, verme için ek güvenlik gereksinimleri olan sertifikaları göstermek için kullanılır. Örneğin, akıllı kartı verenle yüz yüze yapılan bir toplantıda verilen bir akıllı kart sertifikası orta güvenceli bir sertifika olarak kabul edilebilir ve orta güvence nesne tanımlayıcısını içerebilir.
-
Yüksek Güvence (1.3.6.1.4.1.311.21.8.x.y.z.1.402). Yüksek güvence nesne tanımlayıcısı, en yüksek güvenlikle verilen sertifikaları göstermek için kullanılır. Örneğin, bir anahtar kurtarma aracısı sertifikasını vermek için bazı ek arka plan denetimleri ve bu sertifikayı bulunduran kişi bir kuruluş CA'sından özel anahtar malzemelerini kurtarma olanağına sahip olduğundan, belirtilen onay yetkilisinden dijital imza gerekebilir.
Ayrıca özel verme ilkelerinizi gösterecek kendi nesne tanımlayıcılarınızı oluşturabilirsiniz.
İlgililer bir CA'ya sertifika istekleri gönderdiğinde, istek otomatik olarak onaylanabilir veya "bekleme" durumuna alınabilir. Bekleme durumu normalde, daha yüksek bir güvence düzeyine gereksinim duyan ve bu yüzden daha fazla yönetim ve isteğin daha fazla doğrulanmasını gerektiren sertifikalar için kullanılır. Bir şablonu temel alan verme sertifikaları için kimlik doğrulama ve imza gereksinimlerini yapılandırmada kullanılabilecek çeşitli ayarlar vardır.
Ayar | Açıklama |
---|---|
CA sertifika yönetici onayı |
Tüm sertifikalar bir sertifika yöneticisi tarafından onaylanmak veya reddedilmek üzere bekleme kapsayıcısına yerleştirilir. |
Şu sayıda yetkili imza |
Bu ayar sertifika isteğinin verilebilmesi için önce bir veya daha fazla ilgili tarafından dijital olarak imzalanmasını gerektirir. Bu, başka birkaç yapılandırma parametresini etkinleştirir. |
İmzada gereken ilke türü |
Bir sertifikayı vermek için gereken imzalar belirli bir uygulama ilkesini, verme ilkesini ya da her ikisini de içermelidir. CA, ilgilinin sertifikasını vermek için imzanın yetkilendirmeye uygun olup olmadığını bu şekilde belirler. Bu seçenek, Şu sayıda yetkili imza ayarı belirlendiğinde etkinleşir. |
Uygulama ilkesi |
Bir sertifika isteği imzalanırken doğrulanacak uygulama ilkesini belirtir. Bu seçenek, İmzada gereken ilke türü ayarı Uygulama ilkesi veya Uygulama ve verme ilkesi olarak belirlendiğinde etkinleşir. |
Verme ilkesi |
Bir sertifika isteği imzalanırken doğrulanacak verme ilkelerini belirtir. Bu seçenek, İmzada gereken ilke türü ayarı Verme ilkesi veya Uygulama ve verme ilkesi olarak belirlendiğinde etkinleşir. |
Yeni uygulama ilkeleri oluşturma veya değiştirme olanağı yalnızca sürüm 2 ve sürüm 3 sertifika şablonlarında vardır. Daha fazla bilgi için bkz. Varsayılan Sertifika Şablonları.
İstemcilerin zaten, önceki şablona dayalı geçerli bir sertifikası varsa, değiştirilen şablona dayalı bir sertifika almak için yeniden kaydolmaları gerekir. İstemcilerin yeniden kaydetme konusunda daha fazla bilgi için bkz. Tüm Sertifika Sahiplerini Yeniden Kaydetme.
Domain Admins veya Enterprise Admins veya eşdeğer bir gruptaki üyelik, bu yordamı tamamlamak için gereken en düşük üyeliktir. Daha fazla bilgi için bkz. Rol Tabanlı Yönetim Uygulama.
Verme ilkesini değiştirmek için |
Sertifika Şablonları ek bileşenini açın.
Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.
Verme Gereklilikleri sekmesini tıklatın.
İstenen bilgileri sağlayın.