Active Directory 憑證服務 (AD CS) 支援各種註冊和更新方式,包含不需任何用戶端互動的自動註冊,以及互動式註冊,例如「憑證要求精靈」和 AD CS 網頁。

附註

如果您部署非 Microsoft 憑證授權單位 (CA) 或自訂憑證註冊和更新應用程式,則必須執行這些 CA 和應用程式所需的任何設定。

用戶端取得憑證的方法主要是受憑證範本的安全性內容所控制。

在伺服器上發佈憑證範本時,每個範本都包含存取控制清單 (ACL),該清單會定義主體可以用憑證執行的特定操作。

設定 描述

完全控制

選取的群組或使用者可以在此範本上執行任何動作。

讀取

選取的群組或使用者可以讀取此範本。

寫入

選取的群組或使用者可以修改此範本。

註冊

選取的群組或使用者可以依據此範本提交憑證發行或更新要求。

附註

線上回應服務帳戶必須有「註冊」權限 (而非「自動註冊」權限),才能自動抓取「OCSP 回應簽署」憑證。

自動註冊

選取的群組或使用者可以透過自動註冊方式依據此範本提交憑證要求。

附註

「自動註冊」權限不包含「註冊」權限。若要使用「自動註冊」權限,請同時授與這兩項權限。

最常使用的憑證是針對已允許自動註冊的主體註冊。在此情況下,必須授與主體「讀取」、「註冊」及「自動註冊」權限。

如果您不要自動註冊使用者,但是要使用手動或網頁註冊,則適合授與「讀取」與「註冊」權限。

主體已持有憑證時,不論是否使用自動註冊,只需要「讀取」和「註冊」權限即可更新該憑證。

「寫入」和「完全控制」權限應僅限於 CA 管理員,以確定範本設定無誤。