怎么禁用根CA证书服务器的证书颁发功能?
问题
答案
-
尊敬的客户,您好!
感谢您的回复。
是的,我的意思就是在模板上作一些设置,例如权限的设置,或者这些根证书上的模板没有用了(证书模板没有用了的意思就是“您现在的环境中的证书没有使用这些证书模板颁发的证书正在在使用中”;如有有证书还是用这些根证书上的证书模板颁发的,并且这些证书还在使用中,那么建议您还是先保留证书模板,可以先把权限取消。),并且您也不想保留这些证书模板的话,那么您可以删除模板。
经过我的查看,CA服务器上的如下设置,可能就是使得CA不给某个组或者用户或者计算机请求证书,如果您一定要设置的话,您可以测试下。
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2022年9月1日 1:27
- 已标记为答案 Stanley_L 2022年9月1日 1:28
全部回复
-
尊敬的客户,您好!
感谢您在我们的TechNet论坛发帖。
根据您的描述,现在您的PKI是两层的,根CA服务器和子CA服务器,并且我理解您的根CA服务器也是在域里的,也就是企业根CA和企业子CA,对吗?
问题:那怎么让根服务器不再接收其他的证书申请呢?
回答:我认为可能在根证书服务器上没有这样“不再接收其他的证书申请”设置。但是呢,我觉得您可以使用以下的替代设置让用户或者计算机只在子CA服务器上申请证书。
如果您是手动申请证书的话,您可以在申请证书的时候手动选择子CA,如下截图:
就是您选择一个证书模板以后,点击属性,在“Certification Authority”这里会显示CA的名字,您就只选择您想要的CA名字。
您还可以把根CA上证书模板的读取和注册的权限取消,那么也不能使用指定的没有权限的模板申请证书。
如果您是通过组策略自动申请证书,您可以把根证书上的读取和自动注册的权限取消,那么就不能使用指定的没有权限的模板自动申请证书。
备注:您可以在子CA上重新设置和颁发证书模板(模板的名字与根CA上的模板的名字最好不一样,以便您区分名字),并根据需要给证书模板指定的权限。
希望上述的回复对您有帮助。如有任何疑问,欢迎您随时咨询我们,
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2022年9月1日 1:49
-
尊敬的客户,您好!
感谢您的回复。
是的,我的意思就是在模板上作一些设置,例如权限的设置,或者这些根证书上的模板没有用了(证书模板没有用了的意思就是“您现在的环境中的证书没有使用这些证书模板颁发的证书正在在使用中”;如有有证书还是用这些根证书上的证书模板颁发的,并且这些证书还在使用中,那么建议您还是先保留证书模板,可以先把权限取消。),并且您也不想保留这些证书模板的话,那么您可以删除模板。
经过我的查看,CA服务器上的如下设置,可能就是使得CA不给某个组或者用户或者计算机请求证书,如果您一定要设置的话,您可以测试下。
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2022年9月1日 1:27
- 已标记为答案 Stanley_L 2022年9月1日 1:28
