Данная процедура может быть использована для настройки шаблона сертификата, который используется в службах сертификации Active Directory® в качестве основы для сертификатов компьютеров, передаваемых входящим в домен компьютерам.
Минимальным требованием для выполнения данной процедуры является одновременное членство в группе Enterprise Admins и группе корневого домена Domain Admins.
Важно! | |
Если сертификаты сервера уже развернуты с использованием процедуры, описанной в разделе Сертификат сервера сетевых политик: Настройка шаблонов и автоматической подачи заявок, выполнять действия с 13 по 20 не требуется. Эти действия предназначены для настройки автоматической подачи заявок на сертификаты компьютера и соответствуют аналогичным действиям в указанном выше разделе. |
Настройка шаблона сертификата сервера и автоматической подачи заявок |
-
На компьютере, где установлены службы сертификации Active Directory, нажмите кнопку Пуск, щелкните пункт Выполнить, введите mmc и нажмите кнопку ОК.
-
В меню Файл выберите команду Добавить или удалить оснастку. Будет открыто диалоговое окно Добавить или удалить оснастку,
-
В списке Доступные оснастки дважды щелкните значение Центр сертификации. Выберите центр сертификации, которым требуется управлять с помощью данной оснастки, а затем нажмите кнопку Готово. Диалоговое окно Центр сертификации закроется, будет выполнен возврат к диалоговому окну Добавить или удалить оснастку.
-
В окне Доступные оснастки дважды щелкните значение Шаблоны сертификатов, а затем нажмите кнопку ОК.
-
В дереве консоли разверните узел Шаблоны сертификатов. В области сведений будут выведены все шаблоны сертификатов.
-
В области сведений щелкните шаблон Проверка подлинности рабочей станции.
-
В меню Действие выберите команду Скопировать шаблон. Будет открыто диалоговое окно Скопировать шаблон, Выберите версию шаблона, соответствующую среде, а затем нажмите кнопку ОК. Будет открыто диалоговое окно свойств нового шаблона.
-
На вкладке Общие в поле Выводимое имя введите новое имя для шаблона сертификата или примите имя, предложенное по умолчанию.
-
Перейдите на вкладку Безопасность . В окне Имена групп или пользователей нажмите кнопку Компьютеры домена.
-
В окне Разрешения для компьютеров домена в разделе Разрешить установите флажки разрешений Заявка и Автоматическая подача заявок, а затем нажмите кнопку ОК.
-
Дважды щелкните компонент Центр сертификации, дважды щелкните имя центра сертификации, а затем выберите команду Шаблоны сертификатов. В меню Действие наведите указатель мыши на пункт Создать, а затем нажмите Выдаваемый шаблон сертификата. Открывается диалоговое окно Включение шаблонов сертификатов.
-
Щелкните имя только что настроенного шаблона сертификата, а затем нажмите кнопку ОК. Например, если предложенное по умолчанию имя шаблона сертификата не изменялось, выберите значение Копия проверки подлинности рабочей станции, а затем нажмите кнопку ОК.
-
На компьютере, где установлены доменные службы Active Directory, нажмите кнопку Пуск, щелкните пункт Выполнить, введите текст mmc и нажмите кнопку ОК.
-
В меню Файл выберите команду Добавить или удалить оснастку. Открывается диалоговое окно Добавление и удаление оснастки.
-
В диалоговом окне Добавление и удаление оснастки в поле Доступные оснастки дважды щелкните пункт Редактор управления групповыми политиками. Откроется окно мастера Выбор объекта групповой политики. Нажмите кнопку Обзор и выберите пункт Политика домена по умолчанию. Нажмите кнопку ОК, нажмите кнопку Готово, а затем еще раз нажмите кнопку ОК.
-
Дважды щелкните элемент Политика домена по умолчанию. Последовательно откройте разделы Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности и выберите пункт Политики открытого ключа.
-
В области сведений дважды щелкните элемент Клиент служб сертификации: автоматическая регистрация. Открывается диалоговое окно Клиент служб сертификации: свойства автоматической регистрации.
-
В диалоговом окне Клиент служб сертификации: свойства автоматической регистрации в поле Модель конфигурации выберите значение Включено.
-
Установите флажок Обновлять просроченные сертификаты, обрабатывать поданные запросы на сертификаты и удалять отозванные сертификаты.
-
Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов и нажмите кнопку ОК.
Дополнительные сведения
По завершении данной процедуры клиентские компьютеры, входящие в домен, будут автоматически запрашивать сертификат клиентского компьютера при обновлении групповой политики. Чтобы обновить групповую политику, перезапустите клиентский компьютер или выполните средство командной строки gpupdate.