與憑證相關之私密金鑰的持有人,就稱為主體。這可以是使用者、程式或幾乎是任何物件、電腦或服務。
因為主體本身的身分或性質有極大差異,因此在憑證要求中提供主體名稱時需要一些彈性。Windows 可以自動從 Active Directory 網域服務 (AD DS) 中儲存的主體資訊建立主體名稱,或主體名稱可以由主體本身手動提供 (例如,使用憑證註冊網頁建立並提交憑證要求)。
企業憑證授權單位 (CA) 包含憑證範本嵌入式管理單元以設定憑證範本。在憑證範本內容工作表頁中使用 [主體名稱] 索引標籤以設定主體名稱選項。
在要求中提供
當選取 [在要求中提供] 選項時,可以使用 [為自動註冊更新要求使用來自現有憑證的主體資訊] 選項來簡化新增主體名稱至憑證更新要求的工作,並且允許自動更新電腦憑證。來自現有憑證的主體資訊不會用於使用者憑證的自動更新。
當自動建立更新要求或使用憑證嵌入式管理單元時,[為自動註冊更新要求使用來自現有憑證的主體資訊] 選項會讓憑證註冊用戶端根據相同憑證範本,從現有的電腦憑證讀取主體名稱及主體別名資訊。這個適用於已過期、已撤銷或在更新間隔內的電腦憑證。
從 AD DS 建立
當選取 [用這項 Active Directory 資訊來建立] 選項時,可以設定下列其他選項。
主體名稱格式
設定 | 描述 |
---|---|
一般名稱 | CA 利用從 AD DS 中取得之一般名稱 (CN) 來建立的主體名稱。這個名稱在網域中應該是唯一的,但在企業中可能不是唯一的。 |
完整的辨別名稱 (DN) | CA 利用從 AD DS 中取得之完整的辨別名稱來建立的主體名稱。這可確保該名稱在企業中是唯一的。 |
在主體名稱中包含電子郵件名稱 | 如果已在 Active Directory 使用者物件中填入電子郵件名稱欄位,則此電子郵件名稱將會出現在一般名稱或完整辨別名稱中,作為主體名稱的一部分。 |
無 | 這個憑證不需要名稱值。 |
在次要主體名稱中包含這些資訊
設定 | 描述 |
---|---|
電子郵件名稱 | 如果已在 Active Directory 使用者物件已填入電子郵件名稱欄位,則會使用該電子郵件名稱。 |
DNS 名稱 | 這是要求憑證之主體的完整網域名稱 (FQDN)。這最常在電腦憑證中使用。 |
使用者主體名稱 (UPN) | 使用者主體名稱是 Active Directory 使用者主體的一部分,並且會使用該名稱。 |
服務主體名稱 (SPN) | 服務主體名稱是 Active Directory 電腦主體的一部分,並且會使用該名稱。 |