企业证书颁发机构 (CA) 可以通过 S/MIME(安全多用途 Internet 邮件扩展)为数字签名、安全电子邮件颁发证书,通过安全套接字层 (SSL) 或传输层安全性 (TLS) 向安全 Web 服务器进行身份验证,通过智能卡登录到域。

企业 CA 具有以下特征:

  • 需要访问 Active Directory 域服务 (AD DS)。

  • 使用组策略将其证书传播到域中所有用户和计算机的受信任根证书颁发机构证书存储。

  • 将用户证书和证书吊销列表 (CRL) 发布到 AD DS。为了将证书发布到 AD DS,装有 CA 的服务器必须是 Certificate Publishers 组的成员。这对于服务器所在的域是自动进行的,但是必须为该服务器委派了适当的安全权限才能向其他域发布证书。

注意

您必须是 Domain Admins 组的成员或者是具有 AD DS 写入权限的管理员才能安装企业根 CA。

企业 CA 基于证书模板颁发证书。在使用证书模板时可以实现以下功能:

  • 在注册证书时,企业 CA 对用户强制执行凭据检查。在 AD DS 中,每个证书模板都有一个安全权限设置,用于确定证书申请者是否有权接收所请求的证书类型。

  • 证书使用者名称可以从 AD DS 中的信息自动生成,或者由申请者明确提供。

  • 策略模板将一个预定义的证书扩展列表添加到颁发的证书。该扩展是由证书模板定义的。这可以减少证书申请者需要为证书及其预期用途提供的信息量。

  • 可以使用自动注册功能颁发证书。


目录