在企业 CA 中创建限定从属签名证书

　　运行于 Windows Server 2003 Enterprise Edition 之上的企业 CA 可以创建 2.0 版的证书模板。对于限定从属，可以创建 2.0 版的模板，以允许限定从属签名。如果计划从企业 CA 颁发限定从属签名证书，则可通过下列步骤来创建和检索企业 CA 的限定从属签名证书。

　　注意： 虽然在创建限定从属签名证书方面这一目标与上一部分的目标相同，但在从企业 CA 颁发证书时，其方法却并不相同。至于要采用哪种 CA 类型，取决于基础结构中的可用 CA。

　　创建限定从属第 2 版证书模板

　　为限定从属签名创建第 2 版证书模板

　　1.打开空白的 MMC 控制台。

　　2.在“文件”菜单上，单击“添加/删除”管理单元。

　　3.在“添加/删除管理单元”对话框中，单击“添加”。

　　4.在“添加独立管理单元”对话框中，选择“证书模板”，然后单击“添加”。

　　5.在“添加独立管理单元”对话框中，单击“关闭”。

　　6.在“添加/删除管理单元”对话框中，单击“确定”。

　　7.在控制台树中，选择“证书模板”。

　　8.在详细信息窗格中，右键单击“注册代理”，然后单击“复制模板”。

　　9.在“新模板的属性”对话框的“常规”选项卡上，于“模板显示名”框中键入“限定从属签名”。

　　10.在“请求处理”选项卡(图 34)上，更改以下属性：

　　图 34：设置请求处理属性