关于域中部署CA,证书模板的问题
问题
答案
-
尊敬的客户,您好,
感谢您的发帖。
证书模板定义接收证书请求时CA使用的策略和规则。证书模板包含的属性对于CA基于该模板的CA颁发的所有证书都是通用的。Windows包含几个预定义的模板,但是管理员也可以创建自己的模板以用于其企业。请求证书时,客户端只需在请求中指定模板名称,CA就会根据Active Directory中请求者的信息以及模板中定义的属性来构建证书。
证书模板还用于定义CA上的注册策略。首先,企业CA只能根据配置为使用的模板来颁发证书。例如,如果CA上没有CorpUserEmail模板,则CA无法基于该模板颁发证书。其次,在证书模板的Active Directory对象上设置的权限确定是否允许用户或计算机基于该模板请求证书。如果用户没有对特定模板的注册权限,则CA将拒绝用户针对基于该模板的证书提交的任何请求。
更多信息,我们可以参考:
https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/designing-and-implementing-a-pki-part-iii-certificate-templates/ba-p/397860
希望提供的信息对您有所帮助。如有问题,请随时联系我们。
此致,
Hannah XiongPlease remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已标记为答案 纯牛奶 2020年11月12日 8:25
