Konfigurowanie automatycznej rejestracji certyfikatu
Uwaga
Przed wykonaniem tej procedury należy skonfigurować szablon certyfikatu serwera, korzystając z przystawki Szablony certyfikatów w konsoli Microsoft Management Console na urzędzie certyfikacji z uruchomioną usługą AD CS. Członkostwo w grupach Administratorzy przedsiębiorstwa i Administratorzy domeny głównej jest minimalnym wymaganiem do wykonania tej procedury.
Konfigurowanie automatycznej rejestracji certyfikatu serwera
Na komputerze, na którym zainstalowano usługi AD DS, otwórz program Windows PowerShell®, wpisz mmc, a następnie naciśnij ENTER. Zostanie otwarta konsola Microsoft Management Console.
Kliknij polecenie Dodaj/Usuń przystawkę na menu Plik. Otwiera się okno dialogowe Dodawanie lub usuwanie przystawek.
W obszarze Dostępne przystawki przewiń w dół i dwukrotnie kliknij na Edytor zarządzania zasadami grupy. Zostanie otwarte okno dialogowe Wybieranie obiektu zasad grupy .
Ważne
Upewnij się, że wybierasz Edytor zarządzania zasadami grupy, a nie Zarządzanie zasadami grupy. W przypadku wybrania Zarządzania zasadami grupy konfiguracja przy użyciu tych instrukcji zakończy się niepowodzeniem, a certyfikat serwera nie zostanie automatycznie zaautoryzowany na serwerach NPS.
W Obiekcie Zasad Grupy kliknij Przeglądaj. Wyskakuje okno dialogowe Wybierz obiekt zasad grupy.
W domenach, jednostkach organizacyjnych i połączonych obiektach zasad grupy kliknij pozycję Domyślne zasady domeny, a następnie kliknij przycisk OK.
Kliknij Zakończ, a następnie kliknij OK.
Kliknij dwukrotnie Domyślne Zasady Domeny. W konsoli programu rozwiń następującą ścieżkę: Konfiguracja komputera, Zasady, Ustawienia systemu Windows, Ustawienia zabezpieczeń, a następnie Zasady klucza publicznego.
Kliknij pozycję Zasady klucza publicznego. W okienku szczegółów dwukrotnie kliknij Certificate Services Client – Auto-Enrollment. Zostanie otwarte okno dialogowe Właściwości. Skonfiguruj następujące elementy, a następnie kliknij przycisk OK:
- W obszarze Model konfiguracji wybierz pozycję Włączone.
- Zaznacz pole wyboru Odnów wygasłe certyfikaty, zaktualizuj oczekujące certyfikaty i usuń odwołane certyfikaty .
- Zaznacz pole wyboru Aktualizuj certyfikaty korzystające z szablonów certyfikatów .
Kliknij przycisk OK.
Konfigurowanie automatycznej rejestracji certyfikatu użytkownika
Na komputerze, na którym zainstalowano usługi AD DS, otwórz program Windows PowerShell®, wpisz mmc, a następnie naciśnij ENTER. Zostanie otwarta konsola Microsoft Management Console.
Kliknij polecenie Dodaj/Usuń przystawkę na menu Plik. Otwiera się okno dialogowe Dodawanie lub usuwanie przystawek.
W obszarze Dostępne przystawki przewiń w dół i kliknij dwukrotnie na Edytor Zarządzania Zasadami Grupy. Zostanie otwarte okno dialogowe Wybieranie obiektu zasad grupy .
Ważne
Upewnij się, że wybrano Edytor Zarządzania Zasadami Grupy, a nie Zarządzanie Zasadami Grupy. W przypadku wybrania Zarządzanie zasadami grupy, konfiguracja przy użyciu tych instrukcji zakończy się niepowodzeniem, a certyfikat serwera nie zostanie automatycznie zarejestrowany na NPS-ach.
W obiekcie zasad grupy kliknij przycisk Przeglądaj. Zostanie otwarte okno dialogowe Przeglądanie obiektu zasad grupy .
W domenach, jednostkach organizacyjnych i połączonych obiektach zasad grupy kliknij pozycję Domyślne zasady domeny, a następnie kliknij przycisk OK.
Kliknij Zakończ, a następnie kliknij OK.
Kliknij dwukrotnie Domyślne Zasady Domeny. W konsoli rozwiń następującą ścieżkę: Konfiguracja użytkownika, Zasady, Ustawienia systemu Windows, Ustawienia zabezpieczeń.
Kliknij pozycję Zasady klucza publicznego. W okienku szczegółów kliknij dwukrotnie Klient usług certyfikatów - Automatyczna rejestracja. Zostanie otwarte okno dialogowe Właściwości. Skonfiguruj następujące elementy, a następnie kliknij przycisk OK:
- W obszarze Model konfiguracji wybierz pozycję Włączone.
- Zaznacz pole wyboru Odnów wygasłe certyfikaty, zaktualizuj oczekujące certyfikaty i usuń odwołane certyfikaty .
- Zaznacz pole wyboru Aktualizuj certyfikaty korzystające z szablonów certyfikatów .
Kliknij przycisk OK.