如果使用 Windows Server 2003 或 Windows 2000 证书服务企业 CA 作为颁发 CA ,您可以为 Active Directory 系统容器中的计算机配置计算机证书自动注册“组策略”,从而在 ISA 服务器上安装计算机证书。
为企业 CA 配置计算机证书自动注册
1.打开“Active Directory 用户和计算机”管理单元。
2.在控制台树中双击 Active Directory 用户和计算机,右键单击您的 CA 所属的域名,然后单击属性。
3.在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。
4.在控制台树中,打开计算机配置,接着依次打开 Windows 设置、安全设置、 公钥策略和自动证书申请设置。
5.右键单击自动证书申请设置,指向新建,然后单击自动证书申请设置。
6.“自动证书申请”向导将出现。 单击下一步。
7.在证书模板中,单击计算机,然后单击下一步。
您的企业 CA 将出现在列表上。
8.单击该企业 CA,再单击下一步,然后单击完成。
9.为了立即获得运行 Windows 2000 Server 的 CA 的计算机证书,请在命令提示符下键入以下命令:
secedit /refreshpolicy machine_policy
10.为了立即获得运行 Windows Server 2003 的 CA 的计算机证书,请在命令提示符下进入以下命令:
gpupdate /target:computer
在为域配置好自动注册之后,属于该域成员的每台计算机都会在计算机“组策略”被刷新时申请一个计算机证书。 默认情况下,Winlogon 服务每90分钟轮询一次“组策略”中的变化。 为了强制计算机“组策略”刷新,可重新启动计算机或在命令提示符下键入 secedit /refreshpolicy machine_policy(用于运行 Windows 2000 的计算机)或 gpupdate /target:computer(用于运行 Winsows XP 或 Windows Server 2003 的计算机)。
相应地对每个域系统容器执行此过程。
最佳实践如果使用 Windows Server 2003 或 Windows 2000 企业 CA 作为颁发 CA,请配置计算机证书自动注册以便在所有计算机上安装计算机证书。 确保为所有相应的域系统容器配置了计算机证书自动注册——不管是通过继承父系统容器的组策略设置还是明确地配置。
步骤 1c:安装用户证书
如果使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 企业 CA 作为颁发 CA,您可以通过自动注册安装用户证书。 只有 Windows XP 和 Windows Server 2003 无线客户端才支持用户证书自动注册。
为企业 CA 配置用户证书自动注册
1.单击开始,单击运行,键入 mmc,然后单击确定。
2.在文件菜单上,单击添加/删除管理单元然后单击 添加。
3.在管理单元下面,双击证书模板,单击关闭,然后单击确定。
4.在控制台树中,单击证书模板。 所有证书模板将显示在详细信息窗格中。
5.在详细信息窗格中,单击用户 模板。
6.在操作菜单上,单击复制模板。
7.在显示名称 字段中,键入 WirelessUser(示例名称)。
8.确保选中在 Active Directory 中发布证书复选框。
9.单击安全选项卡。
10.在组或用户名称 字段中,单击域用户。
11.在域用户权限列表中,选中注册和自动注册权限复选框,然后单击确定。
12.打开“证书颁发机构”管理单元。
13.在控制台树中,打开证书颁发机构,然后打开 CA 名称,再打开证书模板。
14.在操作菜单上,指向新建,然后单击要颁发的证书。
15.单击 WirelessUser (示例)然后单击确定。
16.打开“Active Directory 用户和计算机”管理单元。
17.在控制台树中,双击 Active Directory 用户和计算机,右键单击包含无线用户帐户的域系统容器,然后单击属性。
18.在组策略选项卡上,单击相应的“组策略”对象(默认对象是默认域策略),然后单击编辑。
19.在控制台树中,打开用户配置,然后打开 Windows 设置,再打开安全设置,最后打开 公钥策略。
精品推荐