Modelo de certificado AD - Inscreva-se em nome de

Navegue suas respostas
2

Estou tentando configurar o S / MIME para alguns usuários, o que requer certificados. Não estou usando smartcards e não estou usando o registro automático para esses certificados. O servidor está executando o 2012R2.

Eu criei um modelo que funciona bem quando solicito manualmente um certificado nos certificados mmc All Tasks -> Request Certificate

Mas, para alguns usuários, a equipe de TI terá que criar seus certificados para eles e entregá-los em uma unidade USB ou algo assim. Então, eu também quero poder usar All Tasks -> Advanced Operations -> Enroll on Behalf of . Eu tenho o certificado de agente de solicitação de certificado apropriado, então eu deveria ser capaz de fazer isso.

Mas meu modelo de certificado S / MIME não aparece na lista de modelos disponíveis. Em vez disso, diz The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request"

Isso parece estar relacionado aos requisitos de emissão no modelo. Se eu verificar This number of authorized signatures e configurá-lo como 1, posso usar o registro em nome de. Mas pareço perder a capacidade de as pessoas solicitarem o certificado por conta própria.

Existe uma maneira de permitir que os usuários solicitem seu próprio certificado ou um administrador solicite um em seu nome? Eu deveria usar dois modelos de certificado diferentes para isso?

    
por Grant 29.10.2015 / 17:41

1 resposta

3

Você não pode usar o mesmo modelo para inscrição direta e para operações "inscrever-se em nome de". Você tem que usar dois modelos separados.

Editar 31.10.2015:

O propósito da funcionalidade "Inscrever-se em nome de" é direcionar os usuários por meio da autoridade de registro (RA), onde a emissão de certificados é aprovada e registrada (em algum lugar). Por exemplo, uma empresa decidiu emitir cartões inteligentes para os usuários. Empresa designa uma pessoa altamente confiável que atuará como agente de inscrição. Antes do certificado de emissão, um inscrito deve ser instruído sobre o uso do cartão inteligente, como agir em casos especiais (quando o cartão é roubado, perdido, danificado, etc.). Durante este procedimento (geralmente durante entrevistas face a face), um inscrito assina documentos relacionados e o agente de registro registra o cartão inteligente (vincula o número de série do cartão a um usuário, por exemplo).

Tecnicamente, este procedimento é realizado adicionando uma assinatura adicional à solicitação de certificado. Ou seja, se a solicitação de certificado exigir assinatura adicional (assinatura do agente de inscrição), os usuários DEVEM passar pela autoridade de registro para obter o certificado.

Caso contrário, os usuários podem obter certificado por conta própria, sem ter que passar pelo processo de registro, comprometendo assim o propósito de autoridade de registro inteiro. E é por isso que você tem que usar modelos diferentes, em que o primeiro modelo é usado apenas com autoridade de registro (certificados críticos) e o segundo em que os usuários podem inscrever certificados por conta própria (certificados não críticos).

HTH

    
por 30.10.2015 / 04:16

Tags

De onde vem o / var / lib / nginx / proxy? Como identifico um carimbo de data / hora Authenticode vs. um registro de data e hora compatível com RFC 3161?