证书颁发机构 (CA) 的策略决定用户可以申请的证书的类型及其可以配置的选项。如果启用了“高级证书申请”网页,则可以使用该网页为每个申请的证书设置以下选项:
-
证书模板(从企业 CA)或需要的证书类型(从独立 CA)。指明证书中的公钥可用于哪些应用程序,例如,客户端身份验证或电子邮件。
-
加密服务提供程序(CSP)。CSP 负责创建密钥、销毁密钥以及使用密钥执行各种加密操作。每个 CSP 提供不同的 CryptoAPI 实现。某些提供更强大的加密算法,而另外一些则使用硬件组件(如智能卡)。
-
密钥大小。证书上公钥的长度(以位计)。通常,恶意用户破解较长的密钥比破解较短的密钥困难。
-
哈希算法。好的哈希算法使得无法以计算方式构造具有相同哈希值的两个独立输入。典型的哈希算法包括 MD2、MD4、MD5 和 SHA-1。
-
密钥用法。如何使用私钥。“交换”意味着私钥可以用于实现敏感信息的交换。“签名”意味着私钥只能用于创建数字签名。“二者”意味着密钥对交换和签名功能都可以使用。
-
创建新密钥集或使用现存的密钥集。可以使用存储在计算机中的现有公钥和私钥对,或者为证书创建新的公钥和私钥对。
-
启用强私钥保护。如果启用强私钥保护,则每次需要使用私钥时都会提示输入密码。
-
标记密钥为可导出。如果将密钥标记为可导出,就能将公钥和私钥保存到 PKCS #12 文件中。在更改计算机并需要移动密钥对时,或删除密钥对并将它们保存在其他位置时,这是很有用的。
-
将证书存储在本地计算机证书存储中。当其他用户登录时,如果计算机需要访问与证书关联的私钥,请选择此选项。当申请颁发给计算机(例如 Web 服务器)的证书,而不是颁发给用户的证书时,请选择该选项。
-
申请格式。此部分可以用于选择 PKCS #10 或 CMC 格式。如果要在以后提交申请,则还可以选择“将申请保存到文件”。
用户或本地管理员是完成此过程所需的最低组成员身份。请查看本主题中“其他注意事项”中的详细信息。
 | 通过 Web 提交高级证书申请 |
打开 Web 浏览器。
打开 https://servername/certsrv,其中 servername 是承载 CA Web 注册页的 Web 服务器的名称。
单击“申请证书”。
单击“高级证书申请”。
单击“创建并向此 CA 提交一个证书申请”。
填写所申请的标识信息和其他所需选项。
单击“提交”。
执行以下任一操作:
-
如果出现“证书正在挂起”网页,请参阅检查挂起的证书申请,以获得检查挂起证书的过程。
-
如果出现“证书已颁发”网页,请单击“安装此证书”。
-
如果出现“证书正在挂起”网页,请参阅检查挂起的证书申请,以获得检查挂起证书的过程。
其他注意事项
-
用户证书可以由用户或管理员管理。颁发给计算机或服务的证书只能由管理员或具有相应权限的用户管理。
-
为了使用户使用 Web 注册获取证书,管理员必须对申请的证书所依据的证书模板设置适当的权限。
其他参考