企业根CA 添加证书模板

easy

在默认情况下，在向企业根 CA 申请证书时（如通过 WEB 页面），有时却发现在证书类型下拉列表中没有自己想要的证书类，比如：


在上面列表中，只有少数几种证书模板可以选择。同样，我们通过 mmc 控制台申请证书时也可以看到类似情况：


（图-2）

这里要说明一点的是，在通过 mmc 控制台申请证书时，可将管理单元设置为 3 种不同的账户：我的用户账户，服务账户 以及 计算机账户，如下图所示：



选择不同的 “账户”，那么你可以申请到由不同证书模板生成的证书。如在 （图-2）中，我们选择的是 “我的用户账户”，所以才在列表中看到多个可选的模板，也就是说，这些模板是为了“我的用户账户”所订制的；类似的，如果你选择了 “计算机账户”，那么你只能看到 “计算机” 这个模板可以选择。但是所有的可以申请的证书模板，可以在 CA 里看到，方法是在 CA 服务器上，从 “管理工具” 里打开 “证书颁发机构”，然后单击 “证书模板”，在右侧框中可以看到所有可以申请的证书模板，如下图所示：




现在，我们想为证书模板添加一个 “工作站身份验证” 的模板。首先在 CA 上打开 “证书颁发机构”，然后右击 “证书模板”，在弹出菜单中选择 “新建” ---> “要颁发的证书模板” ：




在 “启用的证书模板” 的下拉框中，选择 “工作站身份验证” ，然后单击 “确定”：




这样我们就为证书颁发添加了一个工作站身份验证的新模板了。根据该模板的名称我们也应该可以猜到，如果要从 mmc 来申请的话，上面所述的 “账户” 要选择为 “计算机账户”，正如所料一样，我们在申请时可以看到，果然多了这个选项：




虽然通过 mmc 来申请是没问题了，但是在通过 WEB 页面申请时，却仍然没有看到该模板的身影。下面的工作，就是要让用户在 WEB 页面上申请证书时，在选择证书模板的下拉列表中也能找到新添加的这个模板。

在 “证书颁发机构” 里，右击 “证书模板”，在弹出菜单中选择 “管理” ：



然后在 “证书模板” 管理里，找到 “工作站身份验证”，右击，在弹出菜单中选择 “复制模板” ：



这时会看到一个兼容性选择对话框，单击 “确定” 保持默认即可：




这时候看到了 “新模板的属性” 对话框，我们可以在 “模板显示名称” 那里自定义一个模板的名称，比如 “客户机验证证书”：




还是在 “新模板的属性” 对话框，切换到 “使用者名称” 选项卡：



选择 “在请求中提供”，这时会看到弹出一个风险警告框：



何为使用者？就是拥有该证书私钥的用户，计算机，甚至是程序。这里只要单击 “确定” 按钮即可，并勾选 “使用现有证书中的使用者信息进行自动注册续订请求”。

仍然在 “新模板的属性” 对话框中，切换到 “安全” 选项卡，将 “Authenticated Users” 赋予 “注册” 权限：




这样，就把一个新的模板添加进来了，这时再次做一下上面新建证书模板的动作，当再次到 WEB 页面申请时，就可以在下拉列表中看到这个模板了，如下图所示：