3.3.1 Cấp phát tự động
Autoenrollment là một đặc tính hữu dụng AD CS, cho phép người quản trị cấu hình cho các đối tượng tự động kết nạp, lấy lại những chứng chỉ đã được cấp phát hoặc làm mới các chứng chỉ đã hết hạn mà không cần phải có sự tác động từ các đối tượng (objects). Để dùng Autoenrollment thì phải có Domain chạy Windows Server 2008, một Enterprise CA chạy trên Windows Server 2008 và client có thể chạy Windows Xp hoặc Windows Vista. Điều khiển tiến trình Autoenrollment bằng sự phối hợp của Group Policy và chứng chỉ số mẩu (Certificate Template).
Cấu hình Autoenrollment cho Domain
1. Trên Domain Controller, chọn Start Administrative tools Group Policy Management.
2. Trong cây console, duoble click Group Policy Object click phải chuột vào Default Domain Policy chọn Edit.
3. Lúc này sẽ xuất hiện hộp thoại Group Policy Management Console (GPMC) chọn User Configuration Windows Settings Security Setting Public Key Policies double click vào Certificate Services Client – Auto – Enrollment.
4. Lúc này ta sẽ cấu định nghĩa (define) các lựa chọn cho Auto Enrollment như sau :
− Configuration Model : chọn Enable để bật tính năng Auto Enrollment lên.
− Chọn checkbox Renew expired certificates, update pending certificates, remove revoked certificates : để tự động làm mới các chứng chỉ hết hạn, cập nhật các chứng chỉ trong hàng đợi, xóa các chứng chỉ trong danh sách thu hồi.
− Chọn Update certificates that use certificate templates : cập nhật những chứng chỉ sử dụng chứng chỉ mẫu.
5. Chọn Ok để kết thúc
3.3.2 Cấp phát không tự động (Manual Enrollment)
Stand-alone không thể dùng Autoenrollment, vì vậy khi một Stand-alone CA nhận yêu cầu về chứng chỉ số từ Client, nó sẽ lưu trữ những yêu cầu đó vào trong hàng đợi cho tới khi người quản trị quyết định có cấp phát chứng chỉ số đó hay không. Cá yêu cầu này được lưu trong phần Pending Requests.
Sau khi đánh giá thông tin trong mổi yêu cầu, người quản trị có thể chọn để chấp nhận (issue) hay từ chối yêu cầu. Người quản trị cũng có thể xem đặt tính của việc cấp phát chứng chỉ số và thu hồi chứng chỉ số khi cần. Hình sau đây khi chứng chỉ số được cấp phát bởi người quản trị.
3.4 Chứng chỉ số mẫu:
Chứng chỉ số mẫu là phần không thể thiếu đối với một Enterprise CA. Chúng là một nhân tố quan trọng của chính sách chứng thực trong một môi trường mà thiết lập các luật lệ và định dạng cho việc cấp phát tự động, sử dụng và quản lý chứng chỉ. Các chứng chỉ số mẫu này được lưu trữ trong Active Directory và được các CA trong một “rừng” sử dụng.
Các CA của Microsoft hỗ trợ 3 loại chứng chỉ số mẫu: version 1, version 2, version 3. Các CA được thiết lập trên những server chạy Windows Server 2003, Standard Edition, Windows 2000 Server chỉ hỗ trợ mẫu version 1. Các hệ điều hành Windows Server 2003 Enpterprise Edition và DataCenter thì hỗ trợ hai mẫu version 1 và version 2. Còn các CA thiết lập trên Windows Server 2008 thì hỗ trợ tất cả các phiên bản trên: version 1, version 2 và version 3. Hơn nữa, chứng chỉ số mẫu version 3 chỉ có thể được sử dụng bởi các client trên những máy tính chạy Windows Server 2008 hay Windows Vista.
3.4.1 Version 1 certificate Templates:
Các mẫu chứng chỉ số version 1 được cung cấp khả năng tương thích ngược, chúng được tạo mặc định khi CA được cài đặt và ta không thể chỉnh sửa hay gỡ bỏ chúng được. Khi ta nhân đôi một chứng chỉ số mẫu version 1 (duplicate) thì bản sao đó sẽ như version 2 và version 3, cái mà ta có thể chỉnh sửa được.
3.4.2 Version 2 certificate Templates:
Các mẫu chứng chỉ số version 2 cho phép chúng ta tùy chọn các thiết lập mà không cần phải duplicate như version 1. Một vài mẫu chứng chỉ version 2 cấu hình sẵn được cung cấp trong cấu hình mặc định, hơn nữa có thể được thêm vào khi cần thiết. Điều này cho phép cấu hình một cách linh hoạt đối với các quản trị viên.
3.4.3 Version 3 certificate Templates:
Các mẫu chứng chỉ phiên bản này cho phép các quản trị viên thêm các thiết lập mã hóa Suite B đến các chứng chỉ của họ. Suite B gồm các tùy chọn được tăng cường cho việc mã hóa, chữ ký số, trao đổi khóa, và hàm băm. Các chứng chỉ thuộc version 3 chỉ có thể được cấp phát từ các CA được cài trên các server chạy Windows Server 2008 và được sử dụng trên các client cài Windows Server 2008 hay Windows Vista.