我试图为less数用户设置S / MIME,这需要证书。 我没有使用智能卡,也没有使用自动注册这些证书。 服务器正在运行2012R2。
我创build了一个工作正常的模板,当我手动申请证书mmc All Tasks -> Request Certificate
但是对于一些用户来说,IT人员将不得不为他们创build证书并通过USB驱动器或其他东西传送。 所以我想也可以使用All Tasks -> Advanced Operations -> Enroll on Behalf of 。 我有适当的证书请求代理证书,所以我应该能够做到这一点。
但是我的S / MIME证书模板没有显示在可用模板列表中。 相反,它表示The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request" The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"
这似乎与模板中的发行要求有关。 如果我检查This number of authorized signatures并将其设置为1,我可以使用代表注册。 但是我似乎失去了自己申请证书的能力。
有没有办法允许用户请求自己的证书,或者pipe理员代表他们请求? 我只是应该使用两个不同的证书模板?
您不能使用相同的模板进行直接注册和“代表注册”操作。 你必须使用两个单独的模板。
编辑31.10.2015:
“代表注册”function的全部目的是引导用户通过注册机构(RA),证书发放得到批准并注册(某处)。 例如,一家公司决定向用户发放智能卡。 公司指定一个高度信任的人作为注册代理。 在颁发证书之前,必须向参与者说明智能卡的使用情况,如何处理特殊情况(卡被盗,丢失,损坏等)。 在这个过程中(通常在面对面的访谈中),参与者签署相关文件和注册代理注册智能卡(例如,将卡的序列号绑定到用户)。
从技术上讲,这个过程是通过向证书申请添加一个附加签名来完成的 也就是说,如果证书请求需要额外的签名(注册代理签名),那么用户必须通过注册机构去获得证书。
否则,用户可以自行获得证书,而不必通过注册过程,从而影响整个注册机构的目的。 这就是为什么您必须使用不同的模板,其中第一个模板仅用于注册权限(关键证书),第二个模板是用户可以自行注册证书(非关键证书)。
HTH