Я пытаюсь настроить S / MIME для нескольких пользователей, для чего требуются сертификаты. Я не использую смарт-карты и не использую автоматическую регистрацию для этих сертификатов. Сервер работает под управлением 2012R2.
Я создал шаблон, который отлично работает, когда я вручную запрашиваю сертификат в сертификатах mmc All Tasks -> Request Certificate
Но для некоторых пользователей ИТ-персонал должен будет создать для них сертификаты и доставить их на USB-накопитель или что-то в этом роде. Поэтому я хочу также иметь возможность использовать All Tasks -> Advanced Operations -> Enroll on Behalf of. У меня есть соответствующий сертификат агента запроса сертификата, так что я могу это сделать.
Но мой шаблон сертификата S / MIME не отображается в списке доступных шаблонов. Вместо этого он говорит The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"
Похоже, это связано с требованиями к выпуску в шаблоне. Если я проверю This number of authorized signatures и установите его на 1, я могу использовать регистрацию от имени. Но я, кажется, теряю возможность для людей запрашивать сертификат самостоятельно.
Есть ли способ разрешить пользователям запрашивать собственный сертификат или администратору запрашивать сертификат от их имени? Я просто должен использовать для этого два разных шаблона сертификатов?
Вы не можете использовать один и тот же шаблон для прямой регистрации и для операций «регистрация от имени». Вы должны использовать два отдельных шаблона.
Изменить 31.10.2015:
Вся цель функции «Регистрация от имени» - направлять пользователей через центр регистрации (RA), где выдача сертификатов утверждается и регистрируется (где-то). Например, компания решила выпустить пользователям смарт-карты. Компания назначает доверенного лица, которое будет выступать в качестве агента по регистрации. Перед выдачей сертификата зачисленный пользователь должен быть проинструктирован об использовании смарт-карты, о том, как действовать в особых случаях (когда карта украдена, потеряна, повреждена и т. Д.). Во время этой процедуры (обычно во время личного собеседования) участник подписывает соответствующие документы, а агент по регистрации регистрирует смарт-карту (например, привязывает серийный номер карты к пользователю).
Технически эта процедура осуществляется путем добавления дополнительной подписи к запросу на сертификат. То есть, если для запроса сертификата требуется дополнительная подпись (подпись агента регистрации) m, то пользователи ДОЛЖНЫ пройти через центр регистрации, чтобы получить сертификат.
В противном случае пользователи могли бы получить сертификат самостоятельно, без необходимости проходить процесс регистрации, что поставило бы под угрозу всю цель центра регистрации. Вот почему вам нужно использовать разные шаблоны, где первый шаблон используется только с центром регистрации (критические сертификаты), а второй, где пользователи могут регистрировать сертификат самостоятельно (некритические сертификаты).
HTH