Иллюстрированный самоучитель по автоматической установке Windows XP

Настройка шаблонов сертификатов

  1. Установите флажок Для автоматической подачи требуется ввод пользователя (Require user input for autoenrollment), как показано выше на Рисунке 3 (при этом для успешного выполнения подачи заявки на сертификат смарт-карты необходимо будет участие пользователя).

    Важно
    Данная опция не нужна, если шаблоны сертификатов не предполагается использовать для смарт-карт или если пользователь не хочет отвечать на появляющиеся запросы подачи заявки на сертификаты. Для сертификатов компьютеров не нужно устанавливать этот флажок. Если его установить, компьютер не сможет выполнить автоматическую подачу заявки
    .

  2. Выберите вкладку Имя субъекта (Subject Name). Данная вкладка используется для определения имени субъекта и свойства сертификата. Рекомендуется использовать заданные по умолчанию параметры для осуществления подачи заявки на шаблон сертификата смарт-карты.
  3. Выберите вкладку Расширения (Extensions). На данной вкладке можно указать, каким образом различные расширения будут добавлены в шаблон сертификата при подаче заявки. Рекомендуется использовать настройки, заданные по умолчанию.

    Примечание
    Политики применения (Application Policies) являются заменой Расширенного использования ключа (Extended Key Usage (EKU)) в Windows Server 2003, хотя EKU все еще поддерживается для старых приложений и клиентских операционных систем
    .

  4. Выберите вкладку Безопасность (Security). На данной вкладке можно указать пользователей и группы пользователей, которые могут выполнять подачу заявки или автоматическую подачу заявки на шаблон сертификата. Для того чтобы иметь возможность автоматически подать заявку на шаблон сертификата, пользователь или группа должны иметь разрешения: Чтение(Read), Подача заявки (Enroll) и Автоматическая подача заявки (Autoenroll).
  5. Для завершения нажмите OK. В столбце Автоматическая подача заявки (Autoenrollment) теперь должно отображаться Разрешено (Allowed).

Примечание
Если шаблон подходит для автоматической подачи заявки, то это будет автоматически отражено на статусе в столбце Автоматическая подача заявки (Autoenrollment). Пользователь не сможет изменить значение статуса. Автоматическая подача заявки не будет разрешена в том случае, если шаблон требует наличия более чем одной подписи центра регистрации (RA – registration authority) или если шаблон поставляется запросившей его стороной. Столбец не отражает состояние списка ACL автоматической подачи заявки шаблона. Важно: Смарт-карта, выпущенная для клиента Windows XP или Станции подачи заявок (Enrollment Station) Windows XP (центра регистрации) будет совместима только с клиентом Windows XP. Между различными смарт-картами и производителями поставщиков криптографии (CSP) нет полной совместимости. Для получения дополнительной информации о возможности использования одной смарт-карты для входа как в ОС Windows 2000, так и в ОС Windows XP, обратитесь к производителям смарт-карты и CSP
.

Разрешения шаблона сертификата

Для того, чтобы пользователь или компьютер могли выполнять подачу заявки на шаблон сертификата, для шаблона должен быть соответствующий набор разрешающих записей ACE в службе каталогов Active Directory. Пользователь или компьютер должны иметь разрешения, как на чтение, так и на запись для того, чтобы выполнить подачу заявки на выбранный шаблон сертификата.

  • Разрешение на чтение (Read permission) позволяет пользователю просматривать шаблоны
  • Разрешение на подачу заявки (Enroll permission) приводится в исполнение центром сертификации предприятия, когда пользователь подает запрос на сертификат выбранного шаблона. Центр сертификации предприятия должен иметь разрешение на чтение в шаблоне для того, чтобы перечислить шаблон в каталоге и выпускать сертификаты, основанные на этом шаблоне. Обычно центр сертификации предприятия по умолчанию включен в группу Прошедшие проверку пользователи (Authenticated Users), у которой есть разрешение на чтение в шаблоне.
  • Разрешение на полный доступ (Full Control permission) по умолчанию предоставлено группе администраторов предприятия и администраторов первичного домена, если выполнялась чистая установка домена на базе ОС Windows Server 2003. В том случае, если производилось обновление домена с ОС Windows 2000, то у администраторов предприятия по умолчанию не будет таких разрешений. Разрешение на полный доступ позволяет пользователям устанавливать и изменять разрешения для выбранного шаблона.
  • Разрешение на автоматическую подачу заявки (Autoenroll permission) устанавливается в шаблоне в том случае, если необходимо, чтобы пользователь или компьютер автоматически подавал заявку на выбранный шаблон сертификата. Разрешение на автоматическую подачу заявки необходимо пользователю в дополнение к разрешению на подачу заявки, для того чтобы выполнить подачу заявки на данный шаблон сертификата. Только шаблоны версии 2 или вновь созданные шаблоны могут иметь набор записей ACE автоматической подачи заявки.
  • Разрешение на запись (Write permission) позволяет пользователям изменять содержимое шаблона сертификата. Необходимо отметить, что сертификаты версии 2 можно изменять только при использовании ОС Windows Server 2003. Шаблоны сертификатов версии 1 позволяют изменять только списки управления доступом (ACL).
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.