证书模板允许管理员颁发为所选任务预配置的证书,从而大大简化管理 Active Directory 证书服务 (AD CS) 证书颁发机构 (CA) 的任务。 证书模板管理单元允许管理员执行以下任务:
- 查看每个证书模板的属性。
- 复制和修改证书模板。
- 控制哪些用户和计算机可以读取模板并注册证书。
- 执行与证书模板相关的其他管理任务。
证书模板是在 CA 上配置的规则和设置集,用于应用于传入的证书请求。 证书模板还向客户提供有关如何创建和提交有效证书请求的说明。
只有企业 CA 才能根据证书模板颁发证书。 模板存储在 Active Directory 域服务 (AD DS) 中,供林中的每个 CA 使用。 这允许 CA 始终可以访问当前标准模板,并确保证书策略在整个林中的一致应用。
证书模板版本
证书模板版本确定证书模板中可用的功能。 Active Directory 证书服务 (AD CS) 提供三个版本的证书模板,这些模板可在企业证书颁发机构 (CA) 上使用。
- 版本 1 证书模板支持一般证书需求,并且与 Windows 2000 及更高版本的 AD CS 兼容。 默认情况下,版本 1 模板在 CA 设置期间安装,无法删除。 版本 1 模板上唯一可以修改的属性是控制对模板的访问的已分配权限集。 只有自定义脚本和组策略(如果使用计算机证书)才支持自动注册。
- 版本 2 证书模板是在 Windows Server 2003 中引入的。 管理员可以配置版本 2 模板,以控制请求、颁发和使用证书的方式。 版本 2 模板支持证书自动注册。
- 版本 3 证书模板支持所有版本 2 模板功能,但也提供对套件 B 加密算法的支持。 套件 B 由美国国家安全局创建,用于指定美国政府机构必须用于保护机密信息的加密算法。 版本 3 证书模板可通过 AD CS 在所有受支持的 Windows Server 版本上使用。
默认证书模板
AD CS 企业证书颁发机构 (CA) 中包含许多旨在满足大多数组织需求的预配置证书模板。 可以通过修改现有预配置模板的副本来创建新的证书模板。 下表描述了默认证书模板:
| 名称 | DESCRIPTION | 密钥用法 | 主题类型 | 发布到 Active Directory 域服务 (AD DS)? | 模板版本 |
|---|---|---|---|---|---|
| 管理员 | 允许信任列表签名和用户身份验证。 | 签名和加密 | 用户 | 是的 | 1 |
| 已验证的会话 | 允许使用者向 Web 服务器进行身份验证。 | 签名 | 用户 | 否 | 1 |
| 基本 EFS | 由加密文件系统 (EFS) 用于加密数据。 | 加密 | 用户 | 是的 | 1 |
| CA 交易所 | 用于存储为私有密钥存档配置的密钥。 | 加密 | 电脑 | 否 | 2 |
| CEP 加密 | 允许证书持有者充当简单证书注册协议 (SCEP) 请求的注册机构。 | 加密 | 电脑 | 否 | 1 |
| 代码签名 | 用于对软件进行数字签名。 | 签名 | 用户 | 否 | 1 |
| 电脑 | 允许计算机在网络上对自身进行身份验证。 | 签名和加密 | 电脑 | 否 | 1 |
| 交叉认证机构 | 用于交叉认证和合格的从属。 | 签名 | 交叉认证 CA | 是的 | 2 |
| 目录电子邮件复制 | 用于在 AD DS 中复制电子邮件。 | 签名和加密 | 电脑 | 是的 | 2 |
| 域控制器 | 由域控制器用作通用证书。 | 签名和加密 | 电脑 | 是的 | 1 |
| 域控制器身份验证 | 用于对 Active Directory 计算机和用户进行身份验证。 | 签名和加密 | 电脑 | 否 | 2 |
| EFS 恢复代理 | 允许使用者解密以前使用 EFS 加密的文件。 | 加密 | 用户 | 否 | 1 |
| 注册代理 | 用于代表其他使用者请求证书。 | 签名 | 用户 | 否 | 1 |
| 注册代理(计算机) | 用于代表其他计算机使用者请求证书。 | 签名 | 电脑 | 否 | 1 |
| Exchange 注册代理(脱机请求) | 用于代表其他使用者请求证书,并在请求中提供使用者名称。 | 签名 | 用户 | 否 | 1 |
| 仅交换签名 | 由 Microsoft Exchange Key Management Service 用于向 Exchange 用户颁发证书,以便对电子邮件进行数字签名。 | 签名 | 用户 | 否 | 1 |
| Exchange 用户 | 由 Microsoft Exchange Key Management Service 用于向 Exchange 用户颁发用于加密电子邮件的证书。 | 加密 | 用户 | 是的 | 1 |
| IPSEC (英语) | 由 Internet 协议安全 (IPsec) 用于对网络通信进行数字签名、加密和解密。 | 签名和加密 | 电脑 | 否 | 1 |
| IPSEC(离线请求) | 当请求中提供使用者名称时,由 IPsec 用于对网络通信进行数字签名、加密和解密。 | 签名和加密 | 电脑 | 否 | 1 |
| Kerberos 身份验证 | 用于对 Active Directory 计算机和用户进行身份验证。 | 签名和加密 | 电脑 | 否 | 2 |
| 密钥恢复代理 | 恢复 CA 上存档的私有密钥。 | 加密 | 密钥恢复代理 | 否 | 2 |
| OCSP 响应签名 | 由 Online Responder 用于对证书状态请求的响应进行签名。 | 签名 | 电脑 | 否 | 3 |
| RAS 和 IAS 服务器 | 允许远程访问服务器和 Internet 身份验证服务 (IAS) 服务器向其他计算机验证其身份。 | 签名和加密 | 电脑 | 否 | 2 |
| 根证书颁发机构 | 用于证明根 CA 的身份。 | 签名 | CA | 否 | 1 |
| 路由器 (离线请求) | 当通过持有 CEP 加密证书的 CA 的 SCEP 请求请求时,由路由器使用。 | 签名和加密 | 电脑 | 否 | 1 |
| 智能卡登录 | 允许持有者使用智能卡进行身份验证。 | 签名和加密 | 用户 | 否 | 1 |
| 智能卡用户 | 允许持有者使用智能卡对电子邮件进行身份验证和保护。 | 签名和加密 | 用户 | 是的 | 1 |
| 下级证书颁发机构 | 用于证明根 CA 的身份。 它由父 CA 或根 CA 颁发。 | 签名 | CA | 否 | 1 |
| 信任列表签名 | 允许持有者对信任列表进行数字签名。 | 签名 | 用户 | 否 | 1 |
| 用户 | 由用户用于电子邮件、EFS 和客户端身份验证。 | 签名和加密 | 用户 | 是的 | 1 |
| 仅用户签名 | 允许用户对数据进行数字签名。 | 签名 | 用户 | 否 | 1 |
| Web 服务器 | 证明 Web 服务器的身份。 | 签名和加密 | 电脑 | 否 | 1 |
| 工作站身份验证 | 使客户端计算机能够向服务器验证其身份。 | 签名和加密 | 电脑 | 否 | 2 |