证书模板概念

证书模板允许管理员颁发为所选任务预配置的证书,从而大大简化管理 Active Directory 证书服务 (AD CS) 证书颁发机构 (CA) 的任务。 证书模板管理单元允许管理员执行以下任务:

  • 查看每个证书模板的属性。
  • 复制和修改证书模板。
  • 控制哪些用户和计算机可以读取模板并注册证书。
  • 执行与证书模板相关的其他管理任务。

证书模板是在 CA 上配置的规则和设置集,用于应用于传入的证书请求。 证书模板还向客户提供有关如何创建和提交有效证书请求的说明。

只有企业 CA 才能根据证书模板颁发证书。 模板存储在 Active Directory 域服务 (AD DS) 中,供林中的每个 CA 使用。 这允许 CA 始终可以访问当前标准模板,并确保证书策略在整个林中的一致应用。

证书模板版本

证书模板版本确定证书模板中可用的功能。 Active Directory 证书服务 (AD CS) 提供三个版本的证书模板,这些模板可在企业证书颁发机构 (CA) 上使用。

  • 版本 1 证书模板支持一般证书需求,并且与 Windows 2000 及更高版本的 AD CS 兼容。 默认情况下,版本 1 模板在 CA 设置期间安装,无法删除。 版本 1 模板上唯一可以修改的属性是控制对模板的访问的已分配权限集。 只有自定义脚本和组策略(如果使用计算机证书)才支持自动注册。
  • 版本 2 证书模板是在 Windows Server 2003 中引入的。 管理员可以配置版本 2 模板,以控制请求、颁发和使用证书的方式。 版本 2 模板支持证书自动注册。
  • 版本 3 证书模板支持所有版本 2 模板功能,但也提供对套件 B 加密算法的支持。 套件 B 由美国国家安全局创建,用于指定美国政府机构必须用于保护机密信息的加密算法。 版本 3 证书模板可通过 AD CS 在所有受支持的 Windows Server 版本上使用。

默认证书模板

AD CS 企业证书颁发机构 (CA) 中包含许多旨在满足大多数组织需求的预配置证书模板。 可以通过修改现有预配置模板的副本来创建新的证书模板。 下表描述了默认证书模板:

名称 DESCRIPTION 密钥用法 主题类型 发布到 Active Directory 域服务 (AD DS)? 模板版本
管理员 允许信任列表签名和用户身份验证。 签名和加密 用户 是的 1
已验证的会话 允许使用者向 Web 服务器进行身份验证。 签名 用户 1
基本 EFS 由加密文件系统 (EFS) 用于加密数据。 加密 用户 是的 1
CA 交易所 用于存储为私有密钥存档配置的密钥。 加密 电脑 2
CEP 加密 允许证书持有者充当简单证书注册协议 (SCEP) 请求的注册机构。 加密 电脑 1
代码签名 用于对软件进行数字签名。 签名 用户 1
电脑 允许计算机在网络上对自身进行身份验证。 签名和加密 电脑 1
交叉认证机构 用于交叉认证和合格的从属。 签名 交叉认证 CA 是的 2
目录电子邮件复制 用于在 AD DS 中复制电子邮件。 签名和加密 电脑 是的 2
域控制器 由域控制器用作通用证书。 签名和加密 电脑 是的 1
域控制器身份验证 用于对 Active Directory 计算机和用户进行身份验证。 签名和加密 电脑 2
EFS 恢复代理 允许使用者解密以前使用 EFS 加密的文件。 加密 用户 1
注册代理 用于代表其他使用者请求证书。 签名 用户 1
注册代理(计算机) 用于代表其他计算机使用者请求证书。 签名 电脑 1
Exchange 注册代理(脱机请求) 用于代表其他使用者请求证书,并在请求中提供使用者名称。 签名 用户 1
仅交换签名 由 Microsoft Exchange Key Management Service 用于向 Exchange 用户颁发证书,以便对电子邮件进行数字签名。 签名 用户 1
Exchange 用户 由 Microsoft Exchange Key Management Service 用于向 Exchange 用户颁发用于加密电子邮件的证书。 加密 用户 是的 1
IPSEC (英语) 由 Internet 协议安全 (IPsec) 用于对网络通信进行数字签名、加密和解密。 签名和加密 电脑 1
IPSEC(离线请求) 当请求中提供使用者名称时,由 IPsec 用于对网络通信进行数字签名、加密和解密。 签名和加密 电脑 1
Kerberos 身份验证 用于对 Active Directory 计算机和用户进行身份验证。 签名和加密 电脑 2
密钥恢复代理 恢复 CA 上存档的私有密钥。 加密 密钥恢复代理 2
OCSP 响应签名 由 Online Responder 用于对证书状态请求的响应进行签名。 签名 电脑 3
RAS 和 IAS 服务器 允许远程访问服务器和 Internet 身份验证服务 (IAS) 服务器向其他计算机验证其身份。 签名和加密 电脑 2
根证书颁发机构 用于证明根 CA 的身份。 签名 CA 1
路由器 (离线请求) 当通过持有 CEP 加密证书的 CA 的 SCEP 请求请求时,由路由器使用。 签名和加密 电脑 1
智能卡登录 允许持有者使用智能卡进行身份验证。 签名和加密 用户 1
智能卡用户 允许持有者使用智能卡对电子邮件进行身份验证和保护。 签名和加密 用户 是的 1
下级证书颁发机构 用于证明根 CA 的身份。 它由父 CA 或根 CA 颁发。 签名 CA 1
信任列表签名 允许持有者对信任列表进行数字签名。 签名 用户 1
用户 由用户用于电子邮件、EFS 和客户端身份验证。 签名和加密 用户 是的 1
仅用户签名 允许用户对数据进行数字签名。 签名 用户 1
Web 服务器 证明 Web 服务器的身份。 签名和加密 电脑 1
工作站身份验证 使客户端计算机能够向服务器验证其身份。 签名和加密 电脑 2