Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шаблоны сертификатов управляются с помощью оснастки Microsoft Management Console (MMC). С помощью этой оснастки можно управлять Службами сертификатов Active Directory (AD CS) как локально, так и удаленно.
Управление шаблонами
Для доступа к шаблонам сертификатов домена и администрирования шаблонов сертификатов для домена необходимо быть членом администратора домена. Чтобы добавить эту оснастку, установите средства управления AD CS на компьютере управления. Средства управления CS AD являются частью средств удаленного администрирования сервера (RSAT). Средства управления можно установить на компьютере Windows Server, выполнив следующую команду PowerShell из сеанса PowerShell с повышенными привилегиями:
Install-WindowsFeature RSAT-ADCS
Чтобы настроить MMC для использования оснастки «Шаблоны сертификатов», выполните следующие шаги.
- Щелкните "Пуск" правой кнопкой мыши, нажмите кнопку "Выполнить", а затем введите mmc.
- В меню "Файл" нажмите кнопку "Добавить/удалить инструментарий".
- В диалоговом окне "Добавление и удаление оснастки" дважды щелкните оснастку "Шаблоны сертификатов", чтобы добавить ее в список. Click OK.
Создание шаблона сертификата
Вы можете создать новый шаблон сертификата, дублируя существующий шаблон и используя свойства существующего шаблона в качестве значения по умолчанию для нового шаблона. Просмотрите список шаблонов сертификатов по умолчанию и проверьте их свойства, чтобы определить существующий шаблон сертификата, который наиболее точно соответствует вашим потребностям. Членство в группе 'Администраторы домена' или эквивалентных группах является минимально необходимым для выполнения данной процедуры.
Чтобы создать новый шаблон сертификата, выполните приведенные действия.
- Откройте оснастку "Шаблоны сертификатов" и подключитесь к корневому или подчиненному серверу AC CS Enterprise.
- Щелкните правой кнопкой мыши шаблон для копирования и щелкните "Дублировать шаблон".
- Выберите минимальную версию операционной системы центра сертификации AD CS (ЦС), которую вы хотите поддерживать. В настоящее время самая последняя версия Windows Server, которую можно выбрать, — Windows Server 2016. Вы также можете выбрать минимальную операционную систему получателя для шаблона сертификата, а последняя версия — Windows 10/Windows Server 2016.
- Укажите имя шаблона сертификата и настройте параметры шаблона.
Удаление шаблона сертификата
Вы можете удалить шаблон сертификата, если вы больше не хотите, чтобы он был доступен для использования. При удалении шаблона сертификата сертификаты, основанные на шаблоне, больше не могут быть выданы. Удаление шаблонов влияет на все удостоверяющие центры в лесу. Шаблоны сертификатов не могут быть восстановлены после их удаления. Для удаления шаблона сертификата необходимо членство в группах Domain Admins или Enterprise Admins, либо эквивалентных.
Чтобы удалить шаблон сертификата, выполните следующие действия.
- Откройте консоль MMC с оснасткой "Шаблоны сертификатов".
- Щелкните правой кнопкой мыши шаблон, который нужно удалить, и нажмите кнопку "Удалить".
- Нажмите кнопку "Да", чтобы подтвердить удаление шаблона.
Переименование шаблона сертификата
Имена шаблонов сертификатов по умолчанию нельзя изменить. Администраторы могут изменять имена пользовательских шаблонов сертификатов. Имя шаблона является общим атрибутом имени объекта шаблона сертификата в доменных службах Active Directory (AD DS). Только этот объект шаблона обновляется, если имя шаблона изменено. Если измененный шаблон был ранее опубликован удостоверяющими центрами (ЦС) или добавлен в список замененных шаблонов, эти действия должны быть повторены для обеспечения согласованности среды инфраструктуры открытых ключей (PKI).
Чтобы изменить имя шаблона сертификата, выполните приведенные действия.
- Откройте оснастку "Шаблоны сертификатов" и подключитесь к службе центров сертификации Службы сертификатов Active Directory (AD CS CA).
- Выберите шаблон сертификата, который требуется изменить. В меню "Действие" нажмите кнопку "Изменить имена".
- Введите новое имя в поле "Имя шаблона" или в поле отображаемого имени шаблона или обоих.
- Нажмите кнопку "ОК", чтобы сохранить изменения.
Если измененный шаблон уже опубликован в выдающих центрах сертификации (ЦС), удалите шаблон из шаблонов сертификатов в этих центрах сертификации, затем перезапустите компьютеры этих центров сертификации, а затем добавьте переименованный шаблон в центры сертификации. Если другой шаблон заменяет измененный шаблон, обновите заменяющий шаблон, добавив измененный шаблон в список замененных шаблонов.
Развертывание шаблонов сертификатов на удостоверяющем центре
При создании центра сертификации предприятия шаблоны сертификатов хранятся в доменных службах Active Directory (AD DS) и могут быть доступны всем корпоративным ЦС в лесу. Все созданные шаблоны сертификатов будут реплицироваться автоматически ко всем контроллерам домена в организации.
Чтобы настроить ЦС для выдачи сертификатов на основе шаблона сертификата, выполните следующие действия.
- Откройте оснастку центра сертификации и дважды щелкните имя ЦС.
- Щелкните правой кнопкой мыши шаблоны сертификатов, щелкните "Создать" и выберите "Шаблон сертификата" для выдачи.
- Выберите шаблон сертификата и нажмите кнопку "ОК".
Удаление шаблона сертификата из ЦС
Возможно, потребуется удалить шаблон сертификата из центра сертификации (ЦС). Например, если необходимо избежать путаницы при добавлении более новой версии шаблона сертификата.
Чтобы удалить шаблон сертификата из УЦ:
- Откройте снап-ин центра сертификации.
- В дереве консоли щелкните "Шаблоны сертификатов".
- В области сведений щелкните правой кнопкой мыши шаблон сертификата, который требуется удалить, и нажмите кнопку "Удалить".
Вы не можете удалить встроенные шаблоны сертификатов.