•用途：签名

　　•CSP：清除“Microsoft Base Cryptographic Provider 1.0”和“Microsoft Base DSS Cryptographic Provider”复选框，并确保选中“Microsoft Enhanced Cryptographic Provider 1.0”。

　　11.在“使用者名称”选项卡上，确保将“使用者名称格式”设置为“完全可分辨名称”，并确保只选中“用户主体名称 (UPN)”复选框。

　　12.在“颁发要求”选项卡(图 35)上，确保选中“CA 证书管理程序批准”复选框。对于“要重新注册，要求下列项目”，确保设置了“有效的现存证书”选项。

　　图 35：配置颁发要求设置

　　注意： 您可以根据组织的安全策略选择使用不同的颁发设置。例如，您可以选择需要一个或多个证书颁发的授权签名，或者要求为证书的重新注册使用相同的审批过程。

　　13.在“扩展”选项卡的模板框包含的“扩展”中，选择“应用程序策略”，然后单击“编辑”。

　　14.在“编辑应用程序策略扩展”对话框的“应用程序策略”框中，选择“证书申请代理”，然后单击“删除”。

　　15.在“编辑应用程序策略扩展”对话框中单击“添加”。

　　16.在“添加应用程序策略”对话框的“应用程序策略”框中，选择“限定从属”，然后单击“确定”。

　　注意： 您也可以创建带有自己分配的 OID 的自定义应用程序策略。稍后，在配置 XXXX 证书模板以要求为自定义应用程序策略添加签名的过程中，需要进行一些修改。

　　17.在“编辑应用程序策略扩展”对话框中，确保“应用程序策略”对话框中出现的唯一策略是“限定从属”，然后单击“确定”。

　　18.在“安全”选项卡上，确保只有“域管理员”和“企业管理员”才具有证书模板的“注册”权限。您也可以创建自定义的安全组，并只赋予该安全组“注册”权限。

　　19.单击“确定”，将所有配置更改应用到证书模板。