我正在尝试为一些需要证书的用户设置 S/MIME。我没有使用智能卡,也没有对这些证书使用自动注册。服务器正在运行 2012R2。
当我在证书 mmc 中手动请求证书时,我创建了一个可以正常工作的模板All Tasks -> Request Certificate
但是对于某些用户,IT 人员将不得不为他们创建证书并将其传送到 USB 驱动器或其他东西上。所以我希望也能够使用All Tasks -> Advanced Operations -> Enroll on Behalf of. 我有适当的证书请求代理证书,所以我应该能够做到这一点。
但我的 S/MIME 证书模板未显示在可用模板列表中。相反,它说The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"
这似乎与模板中的发行要求有关。如果我选中This number of authorized signatures并将其设置为 1,我可以代表使用注册。但我似乎失去了人们自己申请证书的能力。
有没有办法允许用户申请自己的证书,或者管理员代表他们申请证书?我是否应该为此使用两个不同的证书模板?
您不能将相同的模板用于直接注册和“代表注册”操作。您必须使用两个单独的模板。
编辑 31.10.2015:
“代表注册”功能的全部目的是引导用户通过注册机构 (RA),在该机构批准和注册证书颁发(某处)。例如,一家公司决定向用户发行智能卡。公司指定一位高度信任的人担任注册代理。在颁发证书之前,必须向登记者说明智能卡的使用、在特殊情况下如何操作(当卡被盗、丢失、损坏等时)。在此过程中(通常在面对面访谈期间),登记者签署相关文件,登记代理注册智能卡(例如,将卡的序列号绑定到用户)。
从技术上讲,此过程是通过向证书请求添加附加签名来完成的。也就是说,如果证书请求需要额外的签名(注册代理签名)m,那么用户必须通过注册机构来获取证书。
否则,用户可以自己获得证书,而无需通过注册过程,从而损害了整个注册机构的目的。这就是为什么您必须使用不同的模板,其中第一个模板仅用于注册机构(关键证书),而第二个模板则用户可以自己注册证书(非关键证书)。
高温高压