Эта процедура предназначена для настройки шаблона сертификата, который используется в службах сертификации Active Directory® в качестве основы для сертификатов пользователей, передаваемых членам группы пользователей домена.
Минимальным требованием для выполнения данной процедуры является одновременное членство в группе Enterprise Admins и группе корневого домена Domain Admins.
Настройка шаблона сертификата сервера и автоматической подачи заявок |
-
На компьютере, где установлены службы сертификации Active Directory, нажмите кнопку Пуск, щелкните пункт Выполнить, введите mmc и нажмите кнопку ОК.
-
В меню Файл выберите команду Добавить или удалить оснастку. Будет открыто диалоговое окно Добавить или удалить оснастку.
-
В списке Доступные оснастки дважды щелкните значение Центр сертификации. Выберите центр сертификации, которым требуется управлять, и нажмите кнопку Готово. Диалоговое окно Центр сертификации закроется, будет выполнен возврат к диалоговому окну Добавить или удалить оснастку.
-
В окне Доступные оснастки дважды щелкните значение Шаблоны сертификатов, а затем нажмите кнопку ОК.
-
В дереве консоли разверните узел Шаблоны сертификатов. В области сведений будут выведены все шаблоны сертификатов.
-
В области сведений щелкните шаблон Пользователь.
-
В меню Действие выберите команду Скопировать шаблон. Будет открыто диалоговое окно Скопировать шаблон. Выберите версию шаблона, соответствующую среде, а затем нажмите кнопку ОК. Будет открыто диалоговое окно свойств нового шаблона.
-
На вкладке Общие в поле Выводимое имя введите новое имя для шаблона сертификата или примите имя, предложенное по умолчанию.
-
Откройте вкладку Безопасность. В окне Имена групп или пользователей выберите категорию Пользователи домена.
-
В окне Разрешения для пользователей домена в разделе Разрешить установите флажки разрешений Заявка и Автоматическая подача заявок, а затем нажмите кнопку ОК.
-
Дважды щелкните компонент Центр сертификации, дважды щелкните имя центра сертификации, а затем выберите команду Шаблоны сертификатов. В меню Действие наведите указатель мыши на пункт Создать, а затем нажмите Выдаваемый шаблон сертификата. Будет открыто диалоговое окно Включение шаблонов сертификатов.
-
Щелкните имя только что настроенного шаблона сертификата, а затем нажмите кнопку ОК. Например, если предложенное по умолчанию имя шаблона сертификата не изменялось, выберите значение Копия пользователя, а затем нажмите кнопку ОК.
-
На компьютере, где установлены доменные службы Active Directory, нажмите кнопку Пуск, щелкните пункт Выполнить, введите текст mmc и нажмите кнопку ОК.
-
В меню Файл выберите команду Добавить или удалить оснастку. Открывается диалоговое окно Добавление и удаление оснастки.
-
В диалоговом окне Добавление и удаление оснастки в поле Доступные оснастки дважды щелкните пункт Редактор управления групповыми политиками. Откроется окно мастера Выбор объекта групповой политики. Нажмите кнопку Обзор и выберите пункт Политика домена по умолчанию. Нажмите кнопку ОК, нажмите кнопку Готово, а затем еще раз нажмите кнопку ОК.
-
Выберите элемент Политика домена по умолчанию. Последовательно откройте разделы Конфигурация пользователя, Политики, Параметры Windows, Параметры безопасности и выберите пункт Политики открытого ключа.
-
В области сведений дважды щелкните элемент Клиент служб сертификации: автоматическая регистрация. Открывается диалоговое окно Клиент служб сертификации: свойства автоматической регистрации.
-
В диалоговом окне Клиент служб сертификации: свойства автоматической регистрации в поле Модель конфигурации выберите значение Включено.
-
Установите флажок Обновлять просроченные сертификаты, обрабатывать поданные запросы на сертификаты и удалять отозванные сертификаты.
-
Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов и нажмите кнопку ОК.
Дополнительная информация
После завершения данной процедуры пользователи домена будут автоматически запрашивать сертификат пользователя при обновлении групповой политики. Чтобы обновить групповую политику, перезапустите клиентский компьютер или выполните средство командной строки gpupdate.
Убедитесь, что во всех соответствующих системных контейнерах домена настроена автоматическая подача заявок на получение пользовательских сертификатов путем наследования параметров групповой политики родительского системного контейнера или с помощью явной настройки.