证书模板会通过证书模板 Microsoft 管理控制台 (MMC) 管理单元进行管理。 可使用此管理单元在本地和远程管理 Active Directory 证书服务 (AD CS)。
如何管理模板
你必须是域管理员的成员才能访问和管理某一域的证书模板。 若要添加此管理单元,请在管理计算机上安装 AD CS 管理工具。 AD CS 管理工具是远程服务器管理工具 (RSAT) 的其中一部分。 可通过从提升的 PowerShell 会话运行以下 PowerShell 命令,从而在 Windows Server 计算机上安装这些管理工具:
Install-WindowsFeature RSAT-ADCS
若要配置 MMC 以使用证书模板管理单元:
- 右键单击“开始”,单击“运行”,然后键入 mmc。
- 在“文件”菜单上,单击“添加/删除管理单元”。
- 在“添加和删除管理单元”对话框中,双击证书模板管理单元以将其添加到列表中。 单击“确定”。
创建新的证书模板
可通过复制现有模板并使用现有模板的属性以作为新模板的默认值来创建新的证书模板。 查看默认证书模板的列表并检查其属性,从而确定最符合需求的现有证书模板。 若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。
若要创建新的证书模板:
- 打开证书模板管理单元并连接到 AC CS 企业根服务器或从属服务器。
- 右键单击要从中复制的模板,然后单击“复制模板”。
- 选择要支持的 AD CS 证书颁发机构 (CA) 的最低操作系统版本。 当前可选择的最新版本 Windows Server 为 Windows Server 2016。 此外,还可为证书模板选择最低接收人操作系统,而最新版本为 Windows 10/Windows Server 2016。
- 提供证书模板的名称,并配置模板设置。
删除证书模板
如果不再希望某一证书模板可供使用,则可将其删除。 删除证书模板时,无法再颁发基于此模板的证书。 模板删除操作会影响林中的所有 CA。 删除证书模板后便无法将其恢复。 删除证书模板需要域管理员或企业管理员或是等效的成员身份。
若要删除证书模板,请执行以下步骤:
- 使用证书模板管理单元打开 MMC。
- 右键单击要删除的模板,然后单击“删除”。
- 单击“是”以确认要删除该模板。
重命名证书模板
无法更改默认证书模板的名称。 管理员可更改自定义证书模板的名称。 模板名称为 Active Directory 域服务 (AD DS) 中证书模板对象的公用名属性。 仅当模板名称更改时,才会更新该模板对象。 如果修改后的模板以前曾发布到颁发证书颁发机构 (CA) 或添加到取代的模板列表中,则须重复这些操作才能保持公钥基础结构 (PKI) 环境的一致性。
若要更改证书模板名称,请执行以下操作:
- 打开证书模板管理单元,并连接到 AD CS CA。
- 选择要修改的证书模板。 在“操作”菜单上,单击“更改名称”。
- 在“模板名称”框或“模板显示名称”框中键入新名称,或是同时键入二者。
- 单击“确定”保存更改。
如果修改后的模板已发布到颁发 CA,则请从颁发 CA 的证书模板中删除该模板,然后重启这些颁发 CA 计算机,接着将重命名后的模板添加到颁发 CA。 如果其他模板取代了修改后的模板,则应通过将修改后的模板添加到被取代模板的列表中来更新此取代模板。
将证书模板部署到 CA
创建企业证书颁发机构 (CA) 时,证书模板会存储在 Active Directory 域服务 (AD DS) 中,并可供林中的所有企业 CA 使用。 所有新创建的证书模板均会自动复制到企业中的所有域控制器内。
若要配置 CA 以基于证书模板来颁发证书,请执行以下步骤:
- 打开证书颁发机构管理单元,然后双击此 CA 的名称。
- 右键单击“证书模板”,单击“新建”,然后单击“要颁发的证书模板”。
- 选择证书模板,然后单击“确定”。
从 CA 中删除证书模板
有时,可能需从证书颁发机构 (CA) 中删除证书模板。 例如,如果需在添加较新版本的证书模板时避免混淆。
若要从 CA 中删除证书模板:
- 打开证书颁发机构管理单元。
- 在控制台树中,单击“证书模板”。
- 在详细信息窗格中,右键单击要删除的证书模板,然后单击“删除”。
无法删除内置的证书模板。