Функции автоматической подачи заявки
В данном разделе описывается удаление сертификатов с истекшим сроком действия и отозванных сертификатов, указанных в атрибуте userCertificate и в "Моем" хранилище пользователя.
Удаление просроченных и отозванных сертификатов
Процесс автоматической подачи заявки удаляет сертификаты с истекшим сроком действия и отозванные сертификаты из атрибута userCertificate объекта пользователя Active Directory. Это выполняется автоматически для гарантирования того, что только действующие и активные сертификаты будут использоваться в операциях шифрования.
Модуль выхода центра сертификации Windows Server 2003 также помогает обеспечивать управление учетными записями пользователей в Active Directory, но он может только удалять сертификаты с истекшим сроком действия, из-за особенностей работы отозванные сертификаты он не может удалять. В общем, нет смысла выдавать подписанный сертификат объекту пользователя в Active Directory, кроме как в целях хранения записи.
Управление сертификатами в "Моем" (MY) хранилище
Сертификатами в "Моем" хранилище пользователя также можно управлять с помощью процесса автоматической подачи заявки. Настройка автоматической подачи заявки на удаление сертификатов с истекшим сроком действия и отозванных сертификатов осуществляется с помощью шаблонов. Активировать эту возможность можно путем установки флажка на вкладке Обработка запроса (Request Handling) в диалоговом окне Свойства (Properties) выбранного шаблона сертификата, как показано ниже на Рисунке 15.
Рисунок 15 – Управление сертификатами
Если флажок Удалять отозванные и просроченные сертификаты (Delete revoked or expired certificates) не установлен, процесс автоматической подачи заявок будет выполнять архивирование всех сертификатов с истекшим сроком действия и отозванных сертификатов в "Моем" хранилище пользователя. Как было описано ранее, такая установка не влияет на атрибут userCertificate объекта пользователя в Active Directory.
Примечание
Использование этой функции возможно только с ключами шифрования, с ключами подписи это не возможно.