AD шаблон Certificate - Регистрируется от имени
Я пытаюсь установить S/MIME для нескольких пользователей, который требует сертификатов. Я не использую смарт-карты и не использую автоприем на эти сертификаты. Сервер работает 2012R2.
Я создал шаблон, который хорошо работает, когда я вручную запрашиваю сертификат в сертификатах mmc All Tasks -> Request Certificate
Но для некоторых пользователей штат IT должен будет создать их сертификаты для них и поставить им на Карте памяти или чем-то. Таким образом, я хочу также смочь использовать All Tasks -> Advanced Operations -> Enroll on Behalf of. У меня есть соответствующий сертификат Агента Запроса Сертификата, таким образом, я должен смочь сделать это.
Но мой шаблон сертификата S/MIME не обнаруживается в списке доступных шаблонов. Вместо этого это говорит The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"
Это, кажется, связано с требованиями выпуска в шаблоне. Если я проверяю This number of authorized signatures и набор это к 1, я могу использовать, регистрируются от имени. Но я, кажется, теряю способность к людям запросить сертификат самостоятельно.
Существует ли способ позволить пользователям запрашивать свой собственный сертификат или администратора запросить один от их имени? Я, как просто предполагается, использую два различных шаблона сертификата для этого?
. Вы не можете использовать один и тот же шаблон для прямой регистрации и для операций "регистрация от имени". Вы должны использовать два отдельных шаблона.
Редактировать 31.10.2015:
Вся цель функции "Enroll On Behalf Of" - направлять пользователей через центр регистрации (RA), где выдача сертификатов утверждается и регистрируется (где-то) . Например, компания решила выпустить пользователям смарт-карты. Компания назначает доверенного лица, которое будет выступать в качестве агента по регистрации. Перед выдачей сертификата зачисленный пользователь должен быть проинструктирован об использовании смарт-карты, о том, как действовать в особых случаях (когда карта украдена, потеряна, повреждена и т. Д.). Во время этой процедуры (обычно во время лицаочные интервью), участник подписывает соответствующие документы, а агент по регистрации регистрирует смарт-карту (например, привязывает серийный номер карты к пользователю).
Технически эта процедура выполняется путем добавления дополнительной подписи к запросу на сертификат. То есть, если для запроса сертификата требуется дополнительная подпись (подпись агента регистрации), то пользователи ДОЛЖНЫ пройти через центр регистрации, чтобы получить сертификат.
В противном случае пользователи могли бы получить сертификат самостоятельно, без необходимости проходить процесс регистрации, тем самым ставя под угрозу всю цель регистрирующего органа. Вот почему вы должны использовать разные шаблоны, где первый шаблон используется только с центром регистрации (критические сертификаты), а второй, где пользователи могут регистрировать сертификат самостоятельно (некритические сертификаты).
HTH