Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шаблоны сертификатов значительно упрощают задачу администрирования центра сертификации служб сертификации Active Directory (AD CS), позволяя администратору выдавать сертификаты, предварительно настроенные для выбранных задач. Оснастка "Шаблоны сертификатов" позволяет администратору выполнять следующие задачи:
- Просмотр свойств для каждого шаблона сертификата.
- Копирование и изменение шаблонов сертификатов.
- Управление тем, какие пользователи и компьютеры могут считывать шаблоны и регистрировать сертификаты.
- Выполнение других административных задач, связанных с шаблонами сертификатов.
Шаблоны сертификатов — это наборы правил и параметров, которые настраиваются в ЦС для применения к входящим запросам сертификатов. Шаблоны сертификатов также предоставляют клиенту инструкции по созданию и отправке допустимого запроса на сертификат.
Только корпоративный ЦС может выдавать сертификаты на основе шаблона сертификата. Шаблоны хранятся в службах домена Active Directory (AD DS) для использования каждым центром сертификации в лесу. Это позволяет ЦС всегда иметь доступ к текущему стандартному шаблону и обеспечить согласованное применение политики сертификатов в лесу.
Версии шаблона сертификата
Версии шаблонов сертификатов определяют, какие функции доступны в шаблоне сертификата. Службы сертификатов Active Directory (AD CS) предоставляют три версии шаблонов сертификатов, доступных в корпоративных центрах сертификации (ЦС).
- Шаблоны сертификатов версии 1 поддерживают общие требования к сертификату и совместимы со всеми версиями AD CS из Windows 2000. Шаблоны версии 1 устанавливаются по умолчанию во время установки ЦС и не могут быть удалены. Единственное свойство, которое можно изменить в шаблоне версии 1, — это набор назначенных разрешений, которые управляют доступом к шаблону. Автоматическая регистрация поддерживается только для пользовательских скриптов и с помощью групповой политики при использовании сертификатов компьютера.
- Шаблоны сертификатов версии 2 появились в Windows Server 2003. Администратор может настроить шаблоны версии 2 для управления способом запроса, выдачи и использования сертификатов. Шаблоны версии 2 обеспечивают поддержку автоматической регистрации сертификатов.
- Шаблоны сертификатов версии 3 поддерживают все функции шаблона версии 2, но также поддерживают криптографические алгоритмы Suite B. Suite B был создан Агентством национальной безопасности США, чтобы указать криптографические алгоритмы, которые должны использоваться государственными учреждениями США для защиты конфиденциальной информации. Шаблоны сертификатов версии 3 доступны через AD CS во всех поддерживаемых версиях Windows Server.
Шаблоны сертификатов по умолчанию
Предварительно настроенные шаблоны сертификатов, разработанные для удовлетворения потребностей большинства организаций, включены в состав корпоративных центров сертификации AD CS (ЦС). Новые шаблоны сертификатов можно создать, изменив копию существующего предварительно настроенного шаблона. Шаблоны сертификатов по умолчанию описаны в следующей таблице:
| Name | Description | Key usage | Subject type | Опубликовано в доменных службах Active Directory (AD DS)? | Template version |
|---|---|---|---|---|---|
| Administrator | Разрешает подписывание списка доверия и проверку подлинности пользователей. | Подпись и шифрование | User | Yes | 1 |
| Authenticated Session | Позволяет субъекту проходить проверку подлинности на веб-сервере. | Signature | User | No | 1 |
| Basic EFS | Системой шифрования файлов (EFS) используется для шифрования данных. | Encryption | User | Yes | 1 |
| CA Exchange | Используется для хранения ключей, настроенных для архивации закрытых ключей. | Encryption | Computer | No | 2 |
| CEP Encryption | Позволяет владельцу сертификата выступать в качестве центра регистрации для запросов протокола SCEP. | Encryption | Computer | No | 1 |
| Code Signing | Используется для цифрового подписывания программного обеспечения. | Signature | User | No | 1 |
| Computer | Позволяет компьютеру проходить проверку подлинности в сети. | Подпись и шифрование | Computer | No | 1 |
| Cross-Certification Authority | Используется для перекрестной сертификации и квалифицированной подчиненности. | Signature | Cross-certified CA | Yes | 2 |
| Репликация электронных писем в каталоге | Используется для репликации электронной почты в AD DS. | Подпись и шифрование | Computer | Yes | 2 |
| Domain Controller | Используется контроллерами домена в качестве сертификатов всех назначений. | Подпись и шифрование | Computer | Yes | 1 |
| Проверка подлинности контроллера домена | Используется для проверки подлинности компьютеров и пользователей Active Directory. | Подпись и шифрование | Computer | No | 2 |
| Агент восстановления EFS | Позволяет субъекту расшифровывать файлы, которые ранее были зашифрованы с помощью EFS. | Encryption | User | No | 1 |
| Enrollment Agent | Используется для запроса сертификатов от имени другого субъекта. | Signature | User | No | 1 |
| Агент регистрации (компьютер) | Используется для запроса сертификатов от имени другого компьютера. | Signature | Computer | No | 1 |
| Агент регистрации Exchange (оффлайн запрос) | Используется для запроса сертификатов от имени другого субъекта и предоставления имени субъекта в запросе. | Signature | User | No | 1 |
| Только подпись Exchange | Используется службой управления ключами Microsoft Exchange для выдачи сертификатов пользователям Exchange для цифровой подписи электронной почты. | Signature | User | No | 1 |
| Exchange User | Используется службой управления ключами Microsoft Exchange для выдачи сертификатов пользователям Exchange для шифрования электронной почты. | Encryption | User | Yes | 1 |
| IPSEC | Используется протоколом безопасности Интернета (IPsec) для цифрового подписывания, шифрования и расшифровки сетевого взаимодействия. | Подпись и шифрование | Computer | No | 1 |
| IPSEC (оффлайн запрос) | Используется IPsec для цифрового подписывания, шифрования и расшифровки сетевого взаимодействия при указании имени субъекта в запросе. | Подпись и шифрование | Computer | No | 1 |
| Kerberos Authentication | Используется для проверки подлинности компьютеров и пользователей Active Directory. | Подпись и шифрование | Computer | No | 2 |
| Агент восстановления ключей | Восстанавливает закрытые ключи, архивированные в ЦС. | Encryption | Агент восстановления ключей | No | 2 |
| Подпись ответа OCSP | Используется Онлайн-ответчиком для подписания ответов на запросы о состоянии сертификата. | Signature | Computer | No | 3 |
| Сервер RAS и IAS | Позволяет серверам удаленного доступа и серверам службы проверки подлинности Интернета (IAS) проходить проверку подлинности на других компьютерах. | Подпись и шифрование | Computer | No | 2 |
| Корневой центр сертификации | Используется для удостоверения личности корневого УЦ. | Signature | CA | No | 1 |
| Маршрутизатор (офлайн запрос) | Используется маршрутизатором при запросе SCEP у центра сертификации, который содержит сертификат шифрования для CEP. | Подпись и шифрование | Computer | No | 1 |
| Smartcard Logon | Позволяет владельцу проходить проверку подлинности с помощью смарт-карты. | Подпись и шифрование | User | No | 1 |
| Smartcard User | Позволяет владельцу проходить проверку подлинности и защищать электронную почту с помощью смарт-карты. | Подпись и шифрование | User | Yes | 1 |
| Подчиненный центр сертификации | Используется для удостоверения личности корневого УЦ. Он выдан родительским или корневым Центром сертификации. | Signature | CA | No | 1 |
| Подписывание списка доверия | Позволяет владельцу цифрово подписать список доверия. | Signature | User | No | 1 |
| User | Используется пользователями для проверки подлинности электронной почты, EFS и клиента. | Подпись и шифрование | User | Yes | 1 |
| Только подпись пользователя | Позволяет пользователям цифрово подписывать данные. | Signature | User | No | 1 |
| Web Server | Подтверждает личность веб-сервера. | Подпись и шифрование | Computer | No | 1 |
| Workstation Authentication | Позволяет клиентским компьютерам проходить проверку подлинности на серверах. | Подпись и шифрование | Computer | No | 2 |