Данная процедура может быть использована для настройки шаблона сертификата, который используется в службах сертификации Active Directory® в качестве основы для сертификатов компьютеров, передаваемых входящим в домен компьютерам.

Минимальным требованием для выполнения данной процедуры является одновременное членство в группе Enterprise Admins и группе корневого домена Domain Admins.

Важно!

Если сертификаты сервера уже развернуты с использованием процедуры, описанной в разделе Сертификат сервера сетевых политик: Настройка шаблонов и автоматической подачи заявок, выполнять действия с 13 по 20 не требуется. Эти действия предназначены для настройки автоматической подачи заявок на сертификаты компьютера и соответствуют аналогичным действиям в указанном выше разделе.

Настройка шаблона сертификата сервера и автоматической подачи заявок
  1. На компьютере, где установлены службы сертификации Active Directory, нажмите кнопку Пуск, щелкните пункт Выполнить, введите mmc и нажмите кнопку ОК.

  2. В меню Файл выберите команду Добавить или удалить оснастку. Будет открыто диалоговое окно Добавить или удалить оснастку,

  3. В списке Доступные оснастки дважды щелкните значение Центр сертификации. Выберите центр сертификации, которым требуется управлять с помощью данной оснастки, а затем нажмите кнопку Готово. Диалоговое окно Центр сертификации закроется, будет выполнен возврат к диалоговому окну Добавить или удалить оснастку.

  4. В окне Доступные оснастки дважды щелкните значение Шаблоны сертификатов, а затем нажмите кнопку ОК.

  5. В дереве консоли разверните узел Шаблоны сертификатов. В области сведений будут выведены все шаблоны сертификатов.

  6. В области сведений щелкните шаблон Проверка подлинности рабочей станции.

  7. В меню Действие выберите команду Скопировать шаблон. Будет открыто диалоговое окно Скопировать шаблон, Выберите версию шаблона, соответствующую среде, а затем нажмите кнопку ОК. Будет открыто диалоговое окно свойств нового шаблона.

  8. На вкладке Общие в поле Выводимое имя введите новое имя для шаблона сертификата или примите имя, предложенное по умолчанию.

  9. Перейдите на вкладку Безопасность . В окне Имена групп или пользователей нажмите кнопку Компьютеры домена.

  10. В окне Разрешения для компьютеров домена в разделе Разрешить установите флажки разрешений Заявка и Автоматическая подача заявок, а затем нажмите кнопку ОК.

  11. Дважды щелкните компонент Центр сертификации, дважды щелкните имя центра сертификации, а затем выберите команду Шаблоны сертификатов. В меню Действие наведите указатель мыши на пункт Создать, а затем нажмите Выдаваемый шаблон сертификата. Открывается диалоговое окно Включение шаблонов сертификатов.

  12. Щелкните имя только что настроенного шаблона сертификата, а затем нажмите кнопку ОК. Например, если предложенное по умолчанию имя шаблона сертификата не изменялось, выберите значение Копия проверки подлинности рабочей станции, а затем нажмите кнопку ОК.

  13. На компьютере, где установлены доменные службы Active Directory, нажмите кнопку Пуск, щелкните пункт Выполнить, введите текст mmc и нажмите кнопку ОК.

  14. В меню Файл выберите команду Добавить или удалить оснастку. Открывается диалоговое окно Добавление и удаление оснастки.

  15. В диалоговом окне Добавление и удаление оснастки в поле Доступные оснастки дважды щелкните пункт Редактор управления групповыми политиками. Откроется окно мастера Выбор объекта групповой политики. Нажмите кнопку Обзор и выберите пункт Политика домена по умолчанию. Нажмите кнопку ОК, нажмите кнопку Готово, а затем еще раз нажмите кнопку ОК.

  16. Дважды щелкните элемент Политика домена по умолчанию. Последовательно откройте разделы Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности и выберите пункт Политики открытого ключа.

  17. В области сведений дважды щелкните элемент Клиент служб сертификации: автоматическая регистрация. Открывается диалоговое окно Клиент служб сертификации: свойства автоматической регистрации.

  18. В диалоговом окне Клиент служб сертификации: свойства автоматической регистрации в поле Модель конфигурации выберите значение Включено.

  19. Установите флажок Обновлять просроченные сертификаты, обрабатывать поданные запросы на сертификаты и удалять отозванные сертификаты.

  20. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов и нажмите кнопку ОК.

Дополнительные сведения

По завершении данной процедуры клиентские компьютеры, входящие в домен, будут автоматически запрашивать сертификат клиентского компьютера при обновлении групповой политики. Чтобы обновить групповую политику, перезапустите клиентский компьютер или выполните средство командной строки gpupdate.