Шаблон сертификата AD - Зарегистрируйтесь от имени

Question

Шаблон сертификата AD - Зарегистрируйтесь от имени

Я пытаюсь настроить S/MIME для нескольких пользователей, для чего требуются сертификаты. Я не использую смарт-карты и не использую автоматическую регистрацию для этих сертификатов. Сервер работает под управлением 2012R2.

Я создал шаблон, который отлично работает, когда я вручную запрашиваю сертификат в сертификатах MMC All Tasks -> Request Certificate

Но для некоторых пользователей ИТ-персоналу придется создавать свои сертификаты для них и доставлять их на USB-накопитель или что-то в этом роде. Поэтому я хочу также иметь возможность использовать All Tasks -> Advanced Operations -> Enroll on Behalf of, У меня есть соответствующий сертификат агента запроса сертификата, поэтому я должен быть в состоянии сделать это.

Но мой шаблон сертификата S/MIME не отображается в списке доступных шаблонов. Вместо этого говорится The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"

Похоже, это связано с требованиями к выдаче в шаблоне. Если я проверю This number of authorized signatures и установите его на 1, я могу использовать регистрацию от имени. Но я, кажется, теряю способность людей запрашивать сертификат самостоятельно.

Есть ли способ разрешить пользователям запрашивать собственный сертификат или администратору запрашивать его от своего имени? Я просто должен использовать два разных шаблона сертификата для этого?

2

ssl-certificate certificate ad-certificate-services smime

Источник

Grant 29 окт '15 в 16:41

1 ответ

Решение

Другие вопросы по тегам ssl-certificate certificate ad-certificate-services smime

Crypt32 30 окт '15 в 03:16 2015-10-30 03:16 · Accepted Answer · 2015-10-30 03:16

Вы не можете использовать один и тот же шаблон для прямой регистрации и для операций "регистрация от имени". Вы должны использовать два отдельных шаблона.

Изменить 31.10.2015:

Основная цель функции "Регистрация от имени" состоит в том, чтобы направлять пользователей через регистрирующий орган (RA), где выдача сертификата утверждена и зарегистрирована (где-то). Например, компания решила выпустить смарт-карты для пользователей. Компания назначает доверенного лица, который будет действовать как агент по зачислению. Перед выдачей сертификата, участник должен быть проинструктирован об использовании смарт-карты, о том, как действовать в особых случаях (когда карта украдена, потеряна, повреждена и т. Д.). Во время этой процедуры (обычно во время личных собеседований) участник подписывает соответствующие документы, а агент регистрации регистрирует смарт-карту (например, привязывает серийный номер карты к пользователю).

Технически эта процедура выполняется путем добавления дополнительной подписи в запрос сертификата. То есть, если для запроса сертификата требуется дополнительная подпись (подпись агента регистрации), то пользователи ДОЛЖНЫ пройти регистрацию для получения сертификата.

В противном случае пользователи могут получить сертификат самостоятельно, без прохождения процесса регистрации, что ставит под угрозу всю цель регистрационного органа. И именно поэтому вы должны использовать разные шаблоны, где первый шаблон используется только с полномочиями регистрации (критические сертификаты), а второй - когда пользователи могут зарегистрировать сертификат самостоятельно (некритические сертификаты).

НТН