CA证书模版对比表

默认模板

完成 Windows Server 2003 证书模板的升级后，以下预配置证书模板在证书模板 MMC 控制台中列出。

名称描述密钥用途接受方类型向 AD 发布管理员允许信任列表签

名和用户身份验

证

签名和加密User 是

已验证身份的会话接受方能够通过

Web 服务器验证

身份

签名User 否

Basic EFS 加密文件系统

(EFS) 用其对数

据进行加密

加密User 是

CA 交换用于存储为私钥

存档配置的密钥

加密计算机否

CEP 加密允许所有者充当

注册颁发机构

(RA) ，以满足简

单证书注册协议

(SCEP) 的要求

加密计算机否

代码签名用于以数字方式

签名的软件

签名User 否

计算机允许计算机通过

网络对自身进行

身份验证

签名和加密计算机否

交叉证书颁发机构在交叉证书和限

定的下一级别中

使用

签名CrossCA 是

目录电子邮件复制用于复制 Active

Directory 中的

电子邮件

签名和加密DirEmailRep 是

域控制器域控制器拥有的

各种用途的证书

签名和加密DirEmailRep 是

域控制器身份验证用于验证 Active

Directory 计算

机和用户的身份

签名和加密计算机否

EFS 恢复代理允许接受方对先

前使用 EFS 进行

加密的文件进行

解密

加密User 否注册代理用于代表另一个签名User 否

接受方请求证书

注册代理（计算机）用于代表另一个

计算机接受方请

求证书

签名计算机否

交换注册代理（脱机请求）用于代表另一个

接受方请求证书，

并在请求中提供

接受方名称

签名User 否

仅交换签名用于 Microsoft

交换密钥管理服

务，向 Exchange

用户颁发证书，使

用户能够以数字

方式对电子邮件

进行签名

签名User 否

交换用户用于 Microsoft

交换密钥管理服

务，向 Exchange

用户颁发证书，对

电子邮件进行加

密

加密User 是

IPSEC 用于 IP 安全

(IPSec)，对网络

通讯进行数字签

名、加密和解密

签名和加密计算机否

IPSEC（脱机请求）用于 IP 安全

(IPSec)，对网络

通讯进行数字签

名、加密和解密

（当在要求中提

供接受方名称时）

签名和加密计算机否

密钥恢复代理该证书可以恢复

在证书颁发机构

存档的私钥。

加密KRA 是

根证书颁发机构用于验证根证书

颁发机构的身份

签名CA 是

名称描述密钥用途接受方类

型

向 AD 发布模板版本

路由器（脱机请求）用于通过 SCEP

从持有 CEP 加密

证书的 CA 请求

的路由器

签名和加密计算机否 3.1

智能卡登录允许所有者使用签名和加密User 否 5.1

型

智能卡进行身份

验证

智能卡用户允许所有者使用

智能卡对电子邮

件进行身份验证

和保护

签名和加密User 是9.1

从属证书颁发机构用于证明根证书

颁发机构（由父或

根证书颁发机构

颁发）的身份

签名CA 是 4.1

信任列表签名所有者能够以数

字方式对信任列

表进行签名。

签名User 否 2.1

User 用户用于电子邮

件、EFS 和客户端

身份验证的证书

签名和加密User 是 2.1

仅用户签名允许用户以数字

方式对数据进行

签名

签名User 否 3.1

Web 服务器验证 Web 服务器

的身份

签名和加密计算机否 3.1