none
windows 2012域ca证书问题 RRS feed

  • 问题

  • 1、如何给域内用户自动批量申请证书绑定用户?

    2、如何批量推送用户证书到个人pc?

    3、如何自动续订证书?

    2021年2月25日 8:27

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下是对您问题的回复,供您参考:

    1、如何给域内用户自动批量申请证书绑定用户?
    回复1:我理解您的问题就是如何给域用户自动注册用户证书。
    如果是这样的话,请参考以下的步骤。
    1.在CA服务器上,打开“证书模板控制台”。
    2.找到指定的用户证书模板,右击“这个证书模板”选择“重复证书模板”,然后您可以根据自己的需要自定义证书模板的设置(例如模板的名字,证书主题名字等)。
    3.特别是“安全”选项卡这里的权限,一定要加入指定的用户或者用户组,给指定的用户或者用户组"Read","Enroll"和”Autoenroll“权限。


    4.在CA服务器上颁发证书模板。


    5.新建一个组测单元或者您有现成的组织单元,然后把域用户对象放到这个组织单元里。
    6.新建一个组策略对象,并链接这个组策略对象到步骤5中的组织单元。
    7.编辑组策略对象。
    找到User Configuration > Policies > Windows Settings > Security Settings > Public Key Policies\Certificates Services Client – Auto-Enrollment 策略,

    8.使用指定的用户账号登录客户端,然后注销重新登录或者运行gpupdate /force更新组策略,等待一会儿看是否可以在用户存储里看到用户证书。


    2、如何批量推送用户证书到个人pc?
    回复2:请问您现在有一张现成的证书文件(即已经申请好的证书),想批量把这张证书批量推送到一些加了域的客户端上,对吗?
    据我了解,以下有个现成的组策略,但是是推送根证书到受信任的根证书颁发机构这个容器里的。
    Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies\Trusted Root Certification Authorities\导入指定的证书文件。

    其他的没有现成的组策略可以实现这个需求。


    3、如何自动续订证书?
    回复3:我们可以在证书模板上看到,可以设置”有效期和续订期“。


    证书续订是自动注册过程中的部分。这并不一定意味着证书将在该期限的确切开始时更新。
    续签自动注册的证书,存在两个时间范围来确定何时开始证书续订。
    首先,证书必须已完成其有效期的80%并在更新期内。
    因此,举例来说,有效期为1年的证书在41.5周左右达到80%的标记,如果证书具有6周的续签期限,则续签将在46周的期限内进行。因此,这将在续订期内发生。
    如果有效期为6个月,则80%的标记将是第21周,而续订期将从第20周开始。


    希望上述的回复对您有帮助。如有任何问题,欢迎您随时咨询我们。

    感谢您的理解和支持。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2021年3月1日 6:55
    2021年2月26日 2:44
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下是对您问题的回复,供您参考:

    1、如何给域内用户自动批量申请证书绑定用户?
    回复1:我理解您的问题就是如何给域用户自动注册用户证书。
    如果是这样的话,请参考以下的步骤。
    1.在CA服务器上,打开“证书模板控制台”。
    2.找到指定的用户证书模板,右击“这个证书模板”选择“重复证书模板”,然后您可以根据自己的需要自定义证书模板的设置(例如模板的名字,证书主题名字等)。
    3.特别是“安全”选项卡这里的权限,一定要加入指定的用户或者用户组,给指定的用户或者用户组"Read","Enroll"和”Autoenroll“权限。


    4.在CA服务器上颁发证书模板。


    5.新建一个组测单元或者您有现成的组织单元,然后把域用户对象放到这个组织单元里。
    6.新建一个组策略对象,并链接这个组策略对象到步骤5中的组织单元。
    7.编辑组策略对象。
    找到User Configuration > Policies > Windows Settings > Security Settings > Public Key Policies\Certificates Services Client – Auto-Enrollment 策略,

    8.使用指定的用户账号登录客户端,然后注销重新登录或者运行gpupdate /force更新组策略,等待一会儿看是否可以在用户存储里看到用户证书。


    2、如何批量推送用户证书到个人pc?
    回复2:请问您现在有一张现成的证书文件(即已经申请好的证书),想批量把这张证书批量推送到一些加了域的客户端上,对吗?
    据我了解,以下有个现成的组策略,但是是推送根证书到受信任的根证书颁发机构这个容器里的。
    Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies\Trusted Root Certification Authorities\导入指定的证书文件。

    其他的没有现成的组策略可以实现这个需求。


    3、如何自动续订证书?
    回复3:我们可以在证书模板上看到,可以设置”有效期和续订期“。


    证书续订是自动注册过程中的部分。这并不一定意味着证书将在该期限的确切开始时更新。
    续签自动注册的证书,存在两个时间范围来确定何时开始证书续订。
    首先,证书必须已完成其有效期的80%并在更新期内。
    因此,举例来说,有效期为1年的证书在41.5周左右达到80%的标记,如果证书具有6周的续签期限,则续签将在46周的期限内进行。因此,这将在续订期内发生。
    如果有效期为6个月,则80%的标记将是第21周,而续订期将从第20周开始。


    希望上述的回复对您有帮助。如有任何问题,欢迎您随时咨询我们。

    感谢您的理解和支持。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2021年3月1日 6:55
    2021年2月26日 2:44
    版主
  • 尊敬的客户,您好!

    上午好!

    请问您这个问题是否有任何进展。

    如果您对我的回复有任何疑问,欢迎您随时咨询我们。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月1日 2:35
    版主