证书管理员可以批准证书注册和吊销请求、颁发证书以及管理证书。此角色可通过为用户或组分配“颁发和管理证书”权限进行配置。

将此权限分配给用户或组时,可以进一步优化其按组和按证书模板管理证书的能力。例如,您可能希望实现他们只能对特定办公室或成为安全组基础的组织单位内的用户批准请求或吊销智能卡登录证书的限制。

此限制基于针对证书颁发机构 (CA) 以及具有 CA 中该证书模板的“注册”权限的用户组而启用的证书模板子集。

您必须是 CA 管理员或 Enterprise Admins 的成员或具有同等身份,才能完成此过程。有关详细信息,请参阅实现基于角色的管理

配置 CA 的证书管理员限制的步骤

  1. 打开证书颁发机构管理单元,并右键单击 CA 的名称。

  2. 单击“属性”,然后单击“安全”选项卡。

  3. 验证已选择的用户或组是否具有“颁发和管理证书”权限。如果他们还没有此权限,请选中“允许”复选框,然后单击“应用”

  4. 单击“证书管理员”选项卡。

  5. 单击“限制证书管理员”,验证是否已显示组或用户的名称。

  6. “证书模板”下,单击“添加”,选择希望此用户或组管理的证书的模板,然后单击“确定”。重复此步骤,直到您已选择要允许此证书管理员管理的所有证书模板。

  7. “权限”下,单击“添加”,键入希望证书管理员管理其已定义证书类型的客户端的名称,然后单击“确定”

  8. 如果希望阻止证书管理员管理特定用户、计算机或组的证书,请在“权限”下,选择此用户、计算机或组,单击“拒绝”

  9. 完成配置证书管理员限制时,单击“确定”“应用”

其他参考

目录