IIS, PKI WEB, права только на обновление сертификата
Добрый день!
Опишу свою задачу: Есть филиалы, вне домена, на компьютерах которых установлен сертификат. Необходимо обновить сертификаты через pki web сервис. С правами Enroll так же можно выпустить и новый сертификат (а это как раз надо пресечь, возможно УЗ будет передана сторонним лицам и .т.п.). Попробовал сделать дубликат шаблона и дать права только на обновление (CA Certificate manager Approval + Valid Existing Certificate), но теперь при обновлении ругается на то, что конфликт шаблона: Код:
Your certificate request was denied. Вопрос: Какие есть возможные способы ограничить права УЗ на выпуск сертификата, но оставить права на обновление. |
Никаких. Запретите доступ в оснастку и настройте autoenroll.
https://technet.microsoft.com/en-us/...or=-2147217396 >>When subjects already hold a certificate, they need only Read and Enroll permissions to renew that certificate, whether they use autoenrollment or not. |
Не понял, что именно надо сделать.
Если дать шаблону права autoenroll - то его не видно на web странице при запросе на обновление. |
Время: 22:14. |
Время: 22:14.
© OSzone.net 2001-