Ssl-Certificate

AD 證書模板 - 代表註冊

  • December 31, 2016

我正在嘗試為一些需要證書的使用者設置 S/MIME。我沒有使用智能卡,也沒有對這些證書使用自動註冊。伺服器正在執行 2012R2。

當我在證書 mmc 中手動請求證書時,我創建了一個可以正常工作的模板All Tasks -> Request Certificate

但是對於某些使用者,IT 人員將不得不為他們創建證書並將其傳送到 USB 驅動器或其他東西上。所以我希望也能夠使用All Tasks -> Advanced Operations -> Enroll on Behalf of. 我有適當的證書請求代理證書,所以我應該能夠做到這一點。

但我的 S/MIME 證書模板未顯示在可用模板列表中。相反,它說The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"

這似乎與模板中的發行要求有關。如果我選中This number of authorized signatures並將其設置為 1,我可以代表使用註冊。但我似乎失去了人們自己申請證書的能力。

有沒有辦法允許使用者申請自己的證書,或者管理員代表他們申請證書?我是否應該為此使用兩個不同的證書模板?

您不能將相同的模板用於直接註冊和“代表註冊”操作。您必須使用兩個單獨的模板。

編輯 31.10.2015:

“代表註冊”功能的全部目的是引導使用者通過註冊機構 (RA),在該機構批准和註冊證書頒發(某處)。例如,一家公司決定向使用者發行智能卡。公司指定一位高度信任的人​​擔任註冊代理。在頒發證書之前,必須向登記者說明智能卡的使用、在特殊情況下如何操作(當卡被盜、失去、損壞等時)。在此過程中(通常在面對面訪談期間),登記者簽署相關文件,登記代理註冊智能卡(例如,將卡的序列號綁定到使用者)。

從技術上講,此過程是通過向證書請求添加附加簽名來完成的。也就是說,如果證書請求需要額外的簽名(註冊代理簽名)m,那麼使用者必須通過註冊機構來獲取證書。

否則,使用者可以自己獲得證書,而無需通過註冊過程,從而損害了整個註冊機構的目的。這就是為什麼您必須使用不同的模板,其中第一個模板僅用於註冊機構(關鍵證書),而第二個模板則使用者可以自己註冊證書(非關鍵證書)。

高溫高壓

引用自:https://serverfault.com/questions/732571