Iratkozz nevében sablonok és 2. és 3. verziójában - PKI bővítmények
A könyvtár tartalmának archiválva, és már nem frissül.
Hogy oldja meg ezt a problémát, a Windows CA (akár önálló vagy Enterprise CA és CA futtatható bármely Windows Server) lehetőséget kínál arra, hogy e cél elérése érdekében a használat Felveszem nevében (EOBO). A módszer lényege az, hogy egy ügynök kap igazolvány alapján maguk a Beiratkozási Agent sablon (vagy bármely más template), amely megfelel két követelménynek:
- Kérelem kezelése típusú kulcs segítségével tartalmaz Signature;
- Pályázati Szabályzat (utolsó Extended Key Usage vagy csak EKU) kitett Certificate Request ügynök.
Az ügynök ezután kérheti tanúsítványokat a többi felhasználó számára. Erre a szer elkezdi pillanat certmgr.msc. ez megy Personal -> tanúsítások -> Action -> Minden Feladatok -> Speciális műveletek -> Iratkozz nevében ... és kezdődik a folyamat alkalmazása a tanúsítványt. A második varázsló, akkor az ügynök kell adnia Tanúsítványigénylés ügynök. Ez a lépés szükséges ahhoz, hogy bizonyítani, hogy a szer Agent'om Beiratkozás és ezt a tanúsítványt aláírására használt tanúsítvány kérelmet. A sablon kiválasztása ablakban, akkor valószínű, hogy csak a rendelkezésre álló sablonok 1. változat:
Van számos sablon 2. változat, de az, hogy ezek az igazolások, nem tudok. Üzenet elutasítása kérő bizonyítvány nagyon zavaros, és nem túl barátságos. Mivel 1-es verzió sablonok nem lehet változtatni, ha csak névlegesen támogatja EOBO módot. A 2. és 3. verziójában sablonok konfigurálni kell külön-külön. Ehhez meg kell nyitni a tulajdonságait a sablon, menjen a kibocsátása Követelmények fülre, majd módosítsa úgy, hogy úgy nézett ki, mint a képen:
Ie meg kell határozni, hogy a kérelmet alá kell írnia egy igazolást, az alkalmazás házirendje, amely igazolásban Request ügynök.
Ha meg szeretné osztani a sablonok között az ügynökök, akkor állítsa be őket, mint ez:
Most a kereslet, hogy a beiratkozási ügynök igazolás nem csak tartalmaz bizonyos alkalmazási feltételek. de kibocsátása politika is. Ez azt jelenti, hogy a beiratkozási szer, amely tárolja a tanúsítványt a profil nem lesz képes, hogy kérje ezt a tanúsítványt sablont. Itt van még egy forgatókönyv segítségével OID'ov. Ez a helyzet, hogy nem gondolja, hogy ez valami mitikus senkinek sem kell kidobni.
Tulajdonképpen a beállítás után sablonok Version 2 és 3, akkor azokat EOBO:
Ezen felül, akkor még pontosabb megszabja a behajtás lehetőségére vonatkozóan szerek:
Ez az anyag nem állítja státuszát TK (titkos tudás), hanem olyan nagy elgondolkodtató adminisztrátorai közép- és nagyvállalatok a témában, hogyan lehet kiterjeszteni a lehetőséget PKI használatra, és hozzon létre egy világosabb hatáskörmegosztás Beiratkozási Agent (Beiratkozási meghatalmazott) alkalmazásával Beiktathat funkció nevében (EOBO). Mint látható, a Windows PKI, még ki a dobozból lehetővé teszi, hogy egyszerűen bővíthetők, és kezelheti a PKI infrastruktúra. És ahogy csapkodott mítosz, hogy a PKI infrastruktúra elkerül hallgató PTUshnik (petushatnik?), Ami felveti a CA a térd a metróban.