192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

Windows AD证书服务的配置、设置和更新

发布时间:2015-03-02 11:02

要配置证书模板权限,你需要在每个证书模板的安全性标签上定义DACL。证书模板被指派的权限可以定义用户或群组对此证书模板执行读,修改,注册或自动注册动作。
我们可以为证书模板指派以下权限:
完全控制。完全控制权限运行一个安全性主体去***模板的所有属性,包括证书模板自身的权限以及证书模板的安全性解说符。
读取。读取允许用户或计算机在注册证书时查看证书模板,证书服务器也需要有读取的权限,以便在AD域中查找证书模板。
写入。写入允许用户或计算机***模板的属性,包括模板自身被指派的权限。
注册。注册允许用户或计算机基于该证书模板去注册证书,但是要注册证书你必须还要有该证书模板的读取权限。
自动注册。自动注册允许用户或计算机通过自动注册来接收证书,自动注册权限要求用户或计算机还必须拥有该证书模板的读取和注册权限。
证书模板的最佳赋权方式是将权限仅赋给全局或通用组,因为证书模板对象是保存在AD域的配置命名上下文中的,你应该尽量避免将权限赋给单独的用户或计算机。
另外我们最好给Authenicated Users群组开放证书模板的读取权限,这样AD域中的用户和计算机就能够查看到证书模板了,它同时还能在指派证书时允许以计算机账号的系统上下文上运行的CA查看证书模板,但是不要给这个群组赋予注册权限,这样配置就不会有安全上的问题。

配置证书模板的设置项
除了给证书模板配置安全性设置外,你还可以为每个证书模板配置几个其他的设置。但是要注意,可配置选项的数目取决于证书模板的版本,比如版本1的证书模板是不允许修改除安全性以外的设置的,然而更高版本的证书模板则可以配置更多的可用选项。
Windows2012会自带几个默认的证书模板,主要是为了这些目的:代码签名(用于数字签名软件),EFS(用于加密数据),使用户能够用智慧卡注册。如果想在企业中自定一个模板,你需要复制模板,然后***配置。例如你可以配置以下的设置:
根据证书的用途配置证书的格式和内容。注意:基于被要求使用PKI的安全性部署的类型,证书的用途可能与用户或计算机相关
配置创建和提交一个有效证书申请的过程
CSP 支持
秘钥长度
有效期
注册过程或注册申请
同样你也可以在证书设置中定义一个证书用途。证书模板能够有以下2种类型的用途:
单用途。单用途证书使用于单一的目的,例如允许用户使用智慧卡注册。企业使用单用途证书,是为了解决当被部署的证书中的配置与其他的证书不相同的情况。例如,如果所有的用户都收到了一个证书用于智慧卡登入,但是有部分群组收到一个证书用于EFS,企业通常会将这些证书和模板分隔开,以确保用户只会收到需要的证书。


多用途。一个多用途的证书可同时用于多个目的,这些目的通常是不相关的。有些模板默认就是多用途的,比如用户模板,企业经常会根据某些新目的去修改模板,例如,如果企业打算颁发3种用途的证书,就可以将这些用途组合到一个证书模板中,这样就能够简化管理和维护的工作。

证书模板更新的选择
大多数企业的CA架构每个工作功能有一个证书模板,例如一个证书模板用于文件加密,另一个用于代码签名。此外还可能有一些模板可以为大多数一般的群组对象涵盖多个功能。
作为IT管理员,我们可能会去修改一个已存在的证书模板,因为这个证书模板可能设置不正确,或者在最初颁发的时候有一些问题。有时我们还可能需要将多个现存的模板合并到一个单独的模板中。
我们可以通过修改或替代现有的模板来对证书模板进行更新:
修改初始证书模板。在修改版本2,版本3,版本4的证书模板时,我们需要对此模板做出修改并应用到模板,处理完成之后,CA所有基于此模板颁发的证书都会包含你所修改的配置。
替代现有证书模板。企业的CA架构中可能会有多个证书模板去提供相同或类似的功能性。在这种情况下,我们可以用一个单独的证书模板替代或替换多个证书模板。我们只需要在证书模板控制台指定使用新的证书模板去替换现存的证书模板,替换模板的另一个好处就是当证书过期时会使用新的证书。

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明