基于 Windows Server 2008 的企业证书颁发机构 (CA) 中包括经过专门设计满足大多数组织需要的大量预先配置的证书模板。下表对这些模板进行了介绍。

名称 描述 密钥用法 使用者类型 是否发布到 Active Directory 域服务 (AD DS)? 模板版本

管理员

允许信任列表签名和用户身份验证。

签名和加密

用户

1

经过身份验证的会话

允许使用者对 Web 服务器进行身份验证。

签名

用户

1

基本 EFS

由加密文件系统 (EFS) 用于加密数据。

加密

用户

1

CA 交换

用于存储为私钥存档而配置的密钥。

加密

计算机

2

CEP 加密

允许证书所有者充当注册机构,来处理简单证书注册协议 (SCEP) 请求。

加密

计算机

1

代码签名

用于在软件上进行数字签名。

签名

用户

1

计算机

允许计算机在网络上对其自身进行身份验证。

签名和加密

计算机

1

交叉证书颁发机构

用于交叉证书和合格的部属。

签名

交叉验证的 CA

2

目录电子邮件复制

用于在 AD DS 中复制电子邮件。

签名和加密

计算机

2

域控制器

由域控制器用作所有用途的证书。

签名和加密

计算机

1

域控制器身份验证

用于对 Active Directory 计算机和用户进行身份验证。

签名和加密

计算机

2

EFS 恢复代理

允许使用者对以前使用 EFS 加密的文件进行解密。

加密

用户

1

注册代理

用于代表其他使用者申请证书。

签名

用户

1

注册代理(计算机)

用于代表其他计算机使用者请求证书。

签名

计算机

1

交换注册代理(脱机请求)

用于代表其他使用者申请证书,并在申请中提供使用者名称。

签名

用户

1

仅限于交换签名

由 Microsoft Exchange 密钥管理服务用于将证书颁发给 Exchange 用户,以便对电子邮件进行数字签名。

签名

用户

1

Exchange 用户

由 Microsoft Exchange 密钥管理服务用于将证书颁发给 Exchange 用户,以便对电子邮件进行加密。

加密

用户

1

IPSEC

由 Internet 协议安全 (IPSec) 用于对网络通信进行数字签名、加密和解密。

签名和加密

计算机

1

IPSEC(脱机请求)

在申请中提供使用者名称时,由 IPSec 用于对网络通信进行数字签名、加密和解密。

签名和加密

计算机

1

Kerberos 身份验证

用于对 Active Directory 计算机和用户进行身份验证。

签名和加密

计算机

2

密钥恢复代理

恢复在 CA 中存档的私钥。

加密

密钥恢复代理

2

OCSP 响应签名

由联机响应程序用于对证书状态申请的响应进行签名。

签名

计算机

3

RAS 和 IAS 服务器

使远程访问服务器和 Internet 验证服务 (IAS) 服务器可以对其他计算机验证其身份。

签名和加密

计算机

2

根证书颁发机构

用于证明根 CA 的身份。

签名

CA

1

路由器(脱机请求)

通过来自持有 CEP 加密证书的 CA 的 SCEP 申请进行申请时,由路由器使用。

签名和加密

计算机

1

智能卡登录

允许所有者使用智能卡进行身份验证。

签名和加密

用户

1

智能卡用户

允许所有者使用智能卡进行身份验证并保护电子邮件。

签名和加密

用户

1

从属证书颁发机构

用于证明根 CA 的身份。由父 CA 或根 CA 颁发。

签名

CA

1

信任列表签名

允许所有者对信任列表进行数字签名。

签名

用户

1

用户

由用户用于电子邮件、EFS 和客户端身份验证。

签名和加密

用户

1

仅用户签名

允许用户以数字方式签署数据。

签名

用户

1

Web 服务器

证明 Web 服务器的身份。

签名和加密

计算机

1

工作站身份验证

使客户端计算机对服务器验证其身份。

签名和加密

计算机

2

复制版本 1 或版本 2 证书模板时,可以使版本 2 模板或版本 3 模板成为副本,从而配置更新版本所提供的高级选项。但是,版本 3 证书模板只能由基于 Windows Server 2008 的企业 CA 颁发,且由运行 Windows Server 2008 或 Windows Vista 的计算机上的客户端使用。有关详细信息,请参阅证书模板版本

有关证书模板配置选项的信息,请参阅配置证书模板

其他参考

目录