Поделиться через


Руководство по развертыванию с доверием к локальным сертификатам

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:

  • Тип развертывания:
  • Тип доверия..
  • Тип соединения..

Требования

Перед началом развертывания ознакомьтесь с требованиями, описанными в статье Планирование развертывания Windows Hello для бизнеса .

Перед началом работы убедитесь, что выполнены следующие требования:

Шаги развертывания

После выполнения предварительных требований развертывание Windows Hello для бизнеса состоит из следующих шагов.

Настройка и проверка инфраструктуры открытых ключей

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:

  • Тип развертывания:
  • Тип доверия..
  • Тип соединения..

Windows Hello для бизнеса должна иметь инфраструктуру открытых ключей (PKI) при использовании моделей доверия к ключам или сертификатам . Контроллеры домена должны иметь сертификат, который служит корнем доверия для клиентов. Сертификат гарантирует, что клиенты не будут взаимодействовать с контроллерами домена изгоев. Модель доверия сертификатов расширяет выдачу сертификатов на клиентские компьютеры. Во время подготовки Windows Hello для бизнеса пользователь получает сертификат входа в систему.

Развертывание центра сертификации предприятия

В этом руководстве предполагается, что у большинства предприятий существует инфраструктура открытых ключей. Windows Hello для бизнеса зависит от корпоративной PKI, на котором выполняется роль служб сертификатов Windows Server Active Directory .
Если у вас нет PKI, ознакомьтесь с руководством по центру сертификации , чтобы правильно спроектировать инфраструктуру. Затем ознакомьтесь с руководством по лаборатории тестирования: развертывание AD CS Two-Tier иерархии PKI , чтобы узнать, как настроить PKI с помощью сведений из сеанса проектирования.

PKI на основе лабораторий

Следующие инструкции можно использовать для развертывания простой инфраструктуры открытых ключей, подходящей для лабораторной среды.

Войдите с использованием учетных данных, эквивалентных администратору предприятия , на сервере Windows Server, где требуется установить центр сертификации (ЦС).

Примечание.

Никогда не устанавливайте центр сертификации на контроллере домена в рабочей среде.

  1. Открытие командной строки Windows PowerShell с повышенными привилегиями
  2. Используйте следующую команду, чтобы установить роль служб сертификатов Active Directory.
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Используйте следующую команду, чтобы настроить ЦС с помощью базовой конфигурации центра сертификации.
    Install-AdcsCertificationAuthority
    

Настройка корпоративной PKI

Настройка сертификатов контроллера домена

Клиенты должны доверять контроллерам домена, и лучший способ включить доверие — убедиться, что у каждого контроллера домена есть сертификат проверки подлинности Kerberos . Установка сертификата на контроллерах домена позволяет центру распространения ключей (KDC) подтвердить свое удостоверение другим членам домена. Сертификаты предоставляют клиентам корень доверия за пределами домена, а именно корпоративный центр сертификации.

Контроллеры домена автоматически запрашивают сертификат контроллера домена (если он опубликован) при обнаружении добавления корпоративного ЦС в Active Directory. Сертификаты, основанные на шаблонах сертификатов проверки подлинности контроллера домена и контроллера домена, не включают идентификатор объекта проверки подлинности KDC (OID), который позже был добавлен в kerberos RFC. Поэтому контроллеры домена должны запрашивать сертификат на основе шаблона сертификата проверки подлинности Kerberos .

По умолчанию ЦС Active Directory предоставляет и публикует шаблон сертификата проверки подлинности Kerberos . Конфигурация шифрования, включенная в шаблон, основана на более старых и менее производительных API-интерфейсах шифрования. Чтобы убедиться, что контроллеры домена запрашивают соответствующий сертификат с наилучшим доступным шифрованием, используйте шаблон сертификата проверки подлинности Kerberos в качестве базового плана для создания обновленного шаблона сертификата контроллера домена.

Важно.

Сертификаты, выданные контроллерам домена, должны соответствовать следующим требованиям:

  • Расширение точки распространения списка отзыва сертификатов (CRL) должно указывать на допустимый список отзыва сертификатов или расширение доступа к информации центра (AIA), которое указывает на ответчик протокола OCSP.
  • При необходимости раздел certificate Subject может содержать путь к каталогу серверного объекта (различающееся имя).
  • Раздел "Использование ключа сертификата" должен содержать цифровую подпись и шифрование ключа.
  • При необходимости раздел "Основные ограничения сертификата" должен содержать: [Subject Type=End Entity, Path Length Constraint=None]
  • Раздел расширенного использования ключа сертификата должен содержать проверку подлинности клиента (1.3.6.1.5.5.7.3.2), проверку подлинности сервера (1.3.6.1.5.5.7.3.1) и проверку подлинности KDC (1.3.6.1.5.2.3.5).
  • Раздел "Альтернативное имя субъекта сертификата" должен содержать dns-имя.
  • Шаблон сертификата должен иметь расширение со значением DomainController, закодированным как BMPstring. Если вы используете Центр сертификации Windows Server Enterprise, это расширение уже включено в шаблон сертификата контроллера домена.
  • Сертификат контроллера домена должен быть установлен в хранилище сертификатов локального компьютера.

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору домена .

  1. Откройте консоль управления центра сертификации

  2. Щелкните правой кнопкой мыши управление шаблонами сертификатов >

  3. В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон Проверки подлинности Kerberos в области сведений и выберите дублировать шаблон.

  4. Используйте следующую таблицу, чтобы настроить шаблон:

    Имя вкладки Конфигурации
    Совместимость
    • Снимите флажок Показывать результирующие изменения
    • Выберите Windows Server 2016 в списке центров сертификации
    • Выберите Windows 10 или Windows Server 2016 в списке получателей сертификации.
    Общее
    • Укажите отображаемое имя шаблона, например проверку подлинности контроллера домена (Kerberos)
    • Задайте для срока действия требуемое значение.
    • Запишите имя шаблона для последующего использования, которое должно совпадать с отображаемым именем шаблона минус пробелы.
    Имя субъекта
    • Выберите Сборка из этих сведений Active Directory.
    • Выберите Нет в списке Формат имени субъекта .
    • Выберите DNS-имя из списка Включить эту информацию в альтернативный субъект .
    • Очистка всех остальных элементов
    Cryptography
    • Задайте для категории поставщиковзначение Поставщик хранилища ключей.
    • Задайте для значения имя алгоритмаRSA.
    • Задайте для минимального размера ключазначение 2048.
    • Задайте для хэша запроса значение SHA256.
  5. Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон.

  6. Закрытие консоли

Замена существующих сертификатов контроллера домена

Контроллеры домена могут иметь существующий сертификат контроллера домена. Службы сертификатов Active Directory предоставляют шаблон сертификата по умолчанию для контроллеров домена, называемых сертификатом контроллера домена. Более поздние выпуски Windows Server предоставляли новый шаблон сертификата под названием сертификат проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которую указывалось, что центры распространения ключей (KDCs), выполняющие проверку подлинности сертификата, должны включать расширение проверки подлинности KDC .

Шаблон сертификата проверки подлинности Kerberos — это самый актуальный шаблон сертификата, предназначенный для контроллеров домена, который должен быть развернут на всех контроллерах домена.
Функция автоматической регистрации позволяет заменить сертификаты контроллера домена. Используйте следующую конфигурацию, чтобы заменить старые сертификаты контроллера домена новыми, используя шаблон сертификата проверки подлинности Kerberos .

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .

  1. Откройте консоль управления центра сертификации
  2. Щелкните правой кнопкой мыши управление шаблонами сертификатов >
  3. В консоли шаблонов сертификатов щелкните правой кнопкой мыши шаблон Проверка подлинности контроллера домена (Kerberos) (или имя шаблона сертификата, созданного в предыдущем разделе) в области сведений и выберите Свойства.
  4. Перейдите на вкладку Заменяемые шаблоны . Выберите Добавить.
  5. В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата контроллера домена и нажмите кнопку ОК > Добавить.
  6. В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата проверки подлинности контроллера домена и нажмите кнопку ОК.
  7. В диалоговом окне Добавление заменяемого шаблона выберите шаблон сертификата проверки подлинности Kerberos и нажмите кнопку ОК.
  8. Добавьте все другие корпоративные шаблоны сертификатов, которые ранее были настроены для контроллеров домена, на вкладку Замененные шаблоны
  9. Нажмите кнопку ОК и закройте консоль шаблоны сертификатов .

Шаблон сертификата настроен для замены всех шаблонов сертификатов, указанных в списке замененных шаблонов .
Однако шаблон сертификата и замена шаблонов сертификатов не будут активны, пока шаблон не будет опубликован в одном или нескольких центрах сертификации.

Примечание.

Сертификат контроллера домена должен быть привязан к корню в хранилище NTAuth. По умолчанию корневой сертификат центра сертификации Active Directory добавляется в хранилище NTAuth. Если вы используете ЦС, отличный от Майкрософт, это может быть не сделано по умолчанию. Если сертификат контроллера домена не привязан к корню в хранилище NTAuth, проверка подлинности пользователя завершится ошибкой. Чтобы просмотреть все сертификаты в хранилище NTAuth, используйте следующую команду:

Certutil -viewstore -enterprise NTAuth

Настройка шаблона сертификата внутреннего веб-сервера

Клиенты Windows взаимодействуют с AD FS по протоколу HTTPS. Чтобы удовлетворить эту потребность, сертификат проверки подлинности сервера должен быть выдан всем узлам в ферме AD FS. Локальные развертывания могут использовать сертификат проверки подлинности сервера , выданный корпоративным PKI. Необходимо настроить шаблон сертификата проверки подлинности сервера , чтобы узлы AD FS могли запрашивать сертификат.

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору домена .

  1. Откройте консоль управления центра сертификации

  2. Щелкните правой кнопкой мыши управление шаблонами сертификатов >

  3. В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон веб-сервера в области сведений и выберите Дублировать шаблон.

  4. Используйте следующую таблицу, чтобы настроить шаблон:

    Имя вкладки Конфигурации
    Совместимость
    • Снимите флажок Показывать результирующие изменения
    • Выберите Windows Server 2016 в списке центров сертификации
    • Выберите Windows 10 или Windows Server 2016 в списке получателей сертификации.
    Общее
    • Укажите отображаемое имя шаблона, например внутренний веб-сервер
    • Задайте для срока действия требуемое значение.
    • Запишите имя шаблона для последующего использования, которое должно совпадать с отображаемым именем шаблона минус пробелы.
    Обработка запросов Выберите Разрешить экспорт закрытого ключа.
    Имя субъекта Выберите Пункт Поставки в запросе.
    Безопасность Добавление компьютеров домена с доступом к регистрации
    Cryptography
    • Задайте для категории поставщиковзначение Поставщик хранилища ключей.
    • Задайте для значения имя алгоритмаRSA.
    • Задайте для минимального размера ключазначение 2048.
    • Задайте для хэша запроса значение SHA256.
  5. Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон.

  6. Закрытие консоли

Настройка шаблона сертификата проверки подлинности Windows Hello для бизнеса

Во время подготовки Windows Hello для бизнеса клиенты Windows запрашивают сертификат проверки подлинности из AD FS, который запрашивает сертификат проверки подлинности от имени пользователя. Эта задача настраивает шаблон сертификата проверки подлинности Windows Hello для бизнеса.

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору домена .

  1. Откройте консоль управления центра сертификации

  2. Щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление.

  3. В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон Входа смарт-карты и выберите Дублировать шаблон.

  4. Используйте следующую таблицу, чтобы настроить шаблон:

    Имя вкладки Конфигурации
    Совместимость
    • Снимите флажок Показывать результирующие изменения
    • Выберите Windows Server 2016 в списке центров сертификации
    • Выберите Windows 10 или Windows Server 2016 в списке получателей сертификации.
    Общее
    • Укажите отображаемое имя шаблона, например проверку подлинности WHFB.
    • Задайте для срока действия требуемое значение.
    • Запишите имя шаблона для последующего использования, которое должно совпадать с отображаемым именем шаблона минус пробелы.
    Имя субъекта
    • Выберите Сборка из этих сведений Active Directory.
    • Выберите Полное различающееся имя в списке Формат имени субъекта .
    • Установите флажок Имя участника-пользователя (UPN) в разделе Включить эту информацию в альтернативное имя субъекта.
    Cryptography
    • Задайте для категории поставщиковзначение Поставщик хранилища ключей.
    • Задайте для значения имя алгоритмаRSA.
    • Задайте для минимального размера ключазначение 2048.
    • Задайте для хэша запроса значение SHA256.
    Расширения Проверка того, что расширение "Политики приложений " включает вход с помощью смарт-карты
    Требования к выпуску
    • Установите флажок Это количество авторизованных подписей . Введите 1 в текстовом поле
    • Выберите Политику приложения в поле Тип политики, необходимый в сигнатуре.
    • Выберите агент запроса сертификата из в списке Политики приложений .
    • Выберите параметр Допустимый существующий сертификат .
    Обработка запросов Установите флажок Продлить с тем же ключом .
    Безопасность
    • Выберите Добавить.
    • Нацелитесь на группу безопасности Active Directory, содержащую пользователей, которые вы хотите зарегистрироваться в Windows Hello для бизнеса. Например, если у вас есть группа с именем Windows Hello для бизнес-пользователей, введите ее в текстовое поле Введите имена объектов для выделения и нажмите кнопку ОК.
    • Выберите Windows Hello для бизнеса пользователи в списке Имена групп или пользователей . В разделе Разрешения для Windows Hello для бизнес-пользователей :
      • Установите флажок Разрешить для разрешения на регистрацию.
      • Исключив указанную выше группу (например, Windows Hello для бизнес-пользователей), снимите флажок Разрешить разрешения регистрации и автоматической регистрации для всех остальных записей в разделе Имена групп или пользователей , если флажки еще не сняты.
    • Нажмите кнопку ОК.
  5. Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон.

  6. Закрытие консоли

Выбор шаблона как шаблон для входа Windows Hello

Вход в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору предприятия

Откройте конец командной строки с повышенными привилегиями, выполните следующую команду.

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Если шаблон был успешно изменен, выходные данные команды будут содержать старые и новые значения параметров шаблона. Новое значение должно содержать CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY параметр . Пример.

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

Примечание.

Если вы присвоили шаблону сертификата проверки подлинности Windows Hello для бизнеса другое имя, замените WHFBAuthentication в приведенной выше команде именем шаблона сертификата. Важно использовать имя шаблона, а не отображаемое имя шаблона. Шаблон имени можно просмотреть на вкладке Общие шаблона сертификата с помощью консоли управления шаблонами сертификатов (certtmpl.msc).

Отмена публикации устаревших шаблонов сертификатов

Центр сертификации выдает только сертификаты на основе опубликованных шаблонов сертификатов. Для обеспечения безопасности рекомендуется отменить публикацию шаблонов сертификатов, для выдачи которых ЦС не настроен, включая предварительно опубликованные шаблоны из установки роли и любые заменяемые шаблоны.

Созданный шаблон сертификата проверки подлинности контроллера домена заменяет предыдущие шаблоны сертификатов контроллера домена. Следовательно, необходимо отменить публикацию этих шаблонов сертификатов во всех выдающих центрах сертификации.

Войдите в ЦС или рабочую станцию управления с учетными данными, эквивалентными администратору предприятия .

  1. Откройте консоль управления центра сертификации
  2. Разверните родительский узел из области > навигации Шаблоны сертификатов
  3. Щелкните правой кнопкой мыши шаблон сертификата контроллера домена и выберите Удалить. Выберите Да в окне Отключить шаблоны сертификатов .
  4. Повторите шаг 3 для шаблонов сертификатов проверки подлинности контроллера домена и проверки подлинности Kerberos.

Публикация шаблонов сертификатов в ЦС

Центр сертификации может выдавать сертификаты только для шаблонов сертификатов, опубликованных в нем. Если у вас несколько ЦС и вы хотите, чтобы несколько центров сертификации выдали сертификаты на основе шаблона сертификата, необходимо опубликовать шаблон сертификата для них.

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору предприятия .

  1. Откройте консоль управления центра сертификации
  2. Развертывание родительского узла из области навигации
  3. Выберите Шаблоны сертификатов в области навигации
  4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите Новый > шаблон сертификата для выдачи
  5. В окне Включение шаблонов сертификатов выберите шаблоны проверки подлинности контроллера домена (Kerberos),Внутренний веб-сервер и WHFB Authentication , созданные на предыдущих шагах. Нажмите кнопку ОК , чтобы опубликовать выбранные шаблоны сертификатов в центре сертификации.
  6. Если вы опубликовали шаблон сертификата проверки подлинности контроллера домена (Kerberos), отмените публикацию шаблонов сертификатов, включенных в список замененных шаблонов.
    • Чтобы отменить публикацию шаблона сертификата, щелкните правой кнопкой мыши шаблон сертификата, который требуется отменить, и выберите команду Удалить. Выберите Да , чтобы подтвердить операцию.
  7. Закрытие консоли

Настройка и развертывание сертификатов в контроллерах домена

Настройка автоматической регистрации сертификатов для контроллеров домена

Контроллеры домена автоматически запрашивают сертификат из шаблона сертификата контроллера домена . Однако контроллеры домена не знают о новых шаблонах сертификатов или замененных конфигурациях в шаблонах сертификатов. Чтобы контроллеры домена автоматически регистрировать и продлевать сертификаты, настройте объект групповой политики для автоматической регистрации сертификатов и свяжите его с подразделением контроллеров домена .

  1. Откройте консоль управления групповыми политиками (gpmc.msc)
  2. Разверните домен и выберите узел Объект групповой политики в области навигации.
  3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
  4. Введите автоматическую регистрацию сертификата контроллера домена в поле имя и нажмите кнопку ОК.
  5. Щелкните правой кнопкой мыши объект групповой политики "Автоматическая регистрация сертификатов контроллера домена " и выберите изменить.
  6. В области навигации разверните узел Политики в разделе Конфигурация компьютера.
  7. Разверните раздел Параметры > Windows Параметры безопасности Политики открытых > ключей
  8. В области сведений щелкните правой кнопкой мыши Клиент служб сертификатов — автоматическая регистрация и выберите Свойства.
  9. Выберите Включено в списке Модель конфигурации .
  10. Установите флажок Обновить сертификаты с истекшим сроком действия, обновить ожидающие сертификаты и удалить отозванные сертификаты .
  11. Установите флажок Обновить сертификаты, использующие шаблоны сертификатов .
  12. Нажмите кнопку ОК.
  13. Закрытие редактора управления групповыми политиками

Развертывание объекта групповой политики автоматической регистрации сертификатов контроллера домена

Войдите в контроллер домена или рабочие станции управления с учетными данными, эквивалентными администратору домена .

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и узел с доменным именем Active Directory. Щелкните правой кнопкой мыши подразделение контроллеров домена и выберите Связать существующий объект групповой политики...
  3. В диалоговом окне Выбор объекта групповой политики выберите Автоматическая регистрация сертификатов контроллера домена или имя созданного ранее объекта групповой политики регистрации сертификата контроллера домена.
  4. Нажмите кнопку ОК.

Проверка конфигурации

Windows Hello для бизнеса — это распределенная система, которая на первый взгляд кажется сложной и затруднительной в настройке. Ключом к успешному развертыванию является проверка этапов работы перед переходом к следующему этапу.

Убедитесь, что контроллеры домена регистрируют правильные сертификаты, а не заменяемые шаблоны сертификатов. Убедитесь, что каждый контроллер домена завершил автоматическую регистрацию сертификата.

Использование журналов событий

Войдите в контроллер домена или рабочие станции управления с учетными данными, эквивалентными администратору домена .

  1. С помощью средства просмотра событий перейдите к журналу событий Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System
  2. Найдите событие, указывающее на регистрацию нового сертификата (автоматическая регистрация):
    • Сведения о событии включают шаблон сертификата, на котором был выдан сертификат.
    • Имя шаблона сертификата, используемого для выдачи сертификата, должно соответствовать имени шаблона сертификата, включенного в событие.
    • Отпечаток сертификата и EKU для сертификата также включаются в событие.
    • EKU, необходимый для правильной проверки подлинности Windows Hello для бизнеса, — это проверка подлинности Kerberos, в дополнение к другим EKU, предоставляемым шаблоном сертификата.

Сертификаты, заменяемые новым сертификатом контроллера домена, создают архивное событие в журнале событий. Событие архивации содержит имя шаблона сертификата и отпечаток сертификата, который был заменен новым сертификатом.

Диспетчер сертификатов

Можно использовать консоль диспетчера сертификатов для проверки, что у контроллера домена есть правильно зарегистрированный сертификат на основе правильного шаблона сертификата с соответствующими EKU. Используйте certlm.msc, чтобы посмотреть сертификат в хранилище сертификатов на локальном компьютере. Разверните хранилище Личные для просмотра сертификатов, зарегистрированных на компьютере. Архивные сертификаты не отображаются в диспетчере сертификатов.

Certutil.exe

Вы можете использовать certutil.exe команду для просмотра зарегистрированных сертификатов на локальном компьютере. Certutil показывает зарегистрированные и архивные сертификаты для локального компьютера. В командной строке с повышенными привилегиями выполните следующую команду:

certutil.exe -q -store my

Чтобы просмотреть подробные сведения о каждом сертификате в хранилище и проверить автоматическую регистрацию сертификатов, зарегистрировав соответствующие сертификаты, используйте следующую команду:

certutil.exe -q -v -store my

Диагностика

Windows включает автоматическую регистрацию сертификатов для компьютера во время загрузки и при обновлениях групповой политики. Можно обновить групповую политику из командной строки с повышенными привилегиями с помощью команды gpupdate.exe /force.

Кроме того, вы можете принудительно запустить автоматическую регистрацию сертификатов с помощью команды certreq.exe -autoenroll -qиз командной строки с повышенными привилегиями.

Используйте журналы событий для мониторинга регистрации и архивации сертификатов. Проверьте конфигурацию, например публикацию шаблонов сертификатов в центре сертификации и разрешение на автоматическую регистрацию.

Проверка раздела и дальнейшие действия

Прежде чем перейти к следующему разделу, убедитесь, что выполнены следующие действия.

  • Настройка шаблонов сертификатов контроллера домена и веб-сервера
  • Замена существующих сертификатов контроллера домена
  • Отмена публикации устаревших шаблонов сертификатов
  • Публикация шаблонов сертификатов в ЦС
  • Развертывание сертификатов на контроллерах домена
  • Проверка конфигурации контроллеров домена