Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) unterstützt verschiedene Registrierungs- und Erneuerungsmethoden, z. B. die automatische Registrierung ohne Clientinteraktion und interaktive Registrierungsmethoden wie den Zertifikatanforderungs-Assistenten und die Webseiten von AD CS.
Hinweis | |
Wenn Sie Nicht-Microsoft-Zertifizierungsstellen oder benutzerdefinierte Zertifikatregistrierungs- und -erneuerungsanwendungen bereitstellen, müssen Sie die Konfiguration für diese Zertifizierungsstellen und Anwendungen anpassen. |
Wie ein Client ein Zertifikat erhält, wird in erster Linie durch die Sicherheitseigenschaften der Zertifikatvorlage gesteuert.
Wenn Zertifikatvorlagen auf einem Server veröffentlicht werden, enthält jede Vorlage eine Zugriffssteuerungsliste (Access Control List, ACL), durch die die konkreten Vorgänge definiert werden, die ein Antragsteller mit einem Zertifikat ausführen kann.
Einstellung | Beschreibung | ||||
---|---|---|---|---|---|
Vollzugriff |
Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann alle Aktionen für die Vorlage ausführen. | ||||
Lesen |
Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann die Vorlage lesen. | ||||
Schreiben |
Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann die Vorlage ändern. | ||||
Registrieren |
Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann eine auf dieser Vorlage basierende Zertfikatausstellungs- oder -erneuerungsanforderung senden.
| ||||
Automatisch registrieren |
Die ausgewählte Gruppe bzw. der ausgewählte Benutzer kann über die automatische Registrierung eine auf dieser Vorlage basierende Zertifikatanforderung senden.
|
Meistens werden Zertifikate für die Registrierung von Antragstellern mit zulässiger automatischer Registrierung verwendet. In diesem Fall müssen dem Antragsteller die Berechtigungen Lesen, Registrieren und Automatisch registrieren erteilt werden.
Wenn Sie Benutzer nicht automatisch registrieren möchten, aber eine manuelle oder webbasierte Registrierung zur Verfügung stellen möchten, sollten Sie die Berechtigungen Lesen und Registrieren erteilen.
Antragsteller, die bereits über ein Zertifikat verfügen, benötigen zum Erneuern dieses Zertifikats nur die Berechtigungen Lesen und Registrieren. Dabei spielt es keine Rolle, ob sie die automatische Registrierung verwenden.
Die Berechtigungen Schreiben und Vollzugriff sollten auf die Zertifikatverwaltung beschränkt werden, um fehlerhaft konfigurierte Vorlagen zu vermeiden.
-
Verwalten von Zertifikatvorlagen
-
Einrichten der automatischen Zertifikatregistrierung
-
Zulassen, dass Antragsteller ein auf einer Vorlage basierendes Zertifikat anfordern
-
Erneutes Registrieren aller Zertifikatinhaber
-
Ändern einer Ausstellungsrichtlinie
-
Konfigurieren der Zertifikatveröffentlichung in den Active Directory-Domänendiensten