我正在尝试为一些用户设置 S/MIME,这需要证书。我没有使用智能卡,也没有使用这些证书的自动注册。服务器正在运行 2012R2。
我创建了一个模板,当我在证书 mmc 中手动请求证书时,该模板可以正常工作All Tasks -> Request Certificate
但对于某些用户,IT 人员必须为他们创建证书,并通过 USB 驱动器或其他设备交付证书。因此,我也希望能够使用All Tasks -> Advanced Operations -> Enroll on Behalf of。我有适当的证书请求代理证书,因此我应该能够做到这一点。
但我的 S/MIME 证书模板没有显示在可用模板列表中。相反,它显示The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"
这似乎与模板中的颁发要求有关。如果我检查This number of authorized signatures并将其设置为 1,我可以使用代表注册。但我似乎失去了人们自行申请证书的能力。
有没有办法让用户自己申请证书,或者让管理员代他们申请证书?我是否应该为此使用两个不同的证书模板?
答案1
您不能将同一个模板用于直接注册和“代表注册”操作。您必须使用两个单独的模板。
编辑于2015年10月31日:
“代表注册”功能的全部目的是引导用户通过注册机构 (RA),在那里批准和注册证书颁发(在某处)。例如,一家公司决定向用户发行智能卡。公司指定一位高度信任的人作为注册代理。在颁发证书之前,必须向注册者说明智能卡的使用方法,以及在特殊情况下(当卡被盗、丢失、损坏等)该如何处理。在此过程中(通常在面对面的面试过程中),注册者签署相关文件,注册代理注册智能卡(例如,将卡的序列号绑定到用户)。
从技术上讲,此过程是通过在证书请求中添加附加签名来完成的。也就是说,如果证书请求需要附加签名(注册代理签名),则用户必须通过注册机构获取证书。
否则,用户可能会自行获得证书,而无需通过注册流程,从而损害整个注册机构的目的。这就是为什么您必须使用不同的模板,其中第一个模板仅用于注册机构(关键证书),第二个模板可供用户自行注册证书(非关键证书)。
高血压