Active Directory 证书服务 (AD CS) 支持各种注册和续订方法,包括无需任何客户交互的自动注册以及交互式注册方法(如“证书申请向导”和 AD CS 网页)。
 | 注意 |
|
如果部署非 Microsoft 证书颁发机构 (CA) 或自定义证书注册和续订应用程序,则必须执行这些 CA 和应用程序所需的任何配置。 |
客户端如何获取证书主要由证书模板的安全属性来控制。
在服务器上发布证书模板时,每个模板都包含一个访问控制列表 (ACL),用于定义使用者使用证书时可以执行的特定操作。
| 设置 | 描述 | ||||
|---|---|---|---|---|---|
|
完全控制 |
选定的组或用户可以对此模板执行任何操作。 | ||||
|
读取 |
选定的组或用户可以读取此模板。 | ||||
|
写入 |
选定的组或用户可以修改此模板。 | ||||
|
注册 |
选定的组或用户可以提交基于此模板的证书颁发或续订申请。
| ||||
|
自动注册 |
选定的组或用户可借助自动注册方式提交基于此模板的证书申请。
|
证书最常见的用途就是允许使用者使用自动注册功能进行注册。在这种情况下,使用者必须被授予“读取”、“注册”和“自动注册”权限。
如果不希望自动注册用户,而是希望采用手动或基于 Web 的注册,则应授予“读取”和“注册”权限。
使用者已持有证书时,他们只需具备“读取”和“注册”权限即可续订该证书,无论他们是否使用自动注册功能。
“写入”和“完全控制”权限应限于 CA 管理员使用,以确保正确配置模板。