none
关于组策略下发证书 RRS feed

全部回复

  • 你好!

    感谢你的提问。

    是可以的。您按照以下链接来设置组策略(用户配置-》策略-》Windows设置-》安全设置-》公钥策略 ),并在域用户证书模板上Security窗口中将“AutoEnroll” 勾选即可。

    https://4sysops.com/archives/how-to-deploy-certificates-with-group-policy-part-2-configuration/

    Please Note: Since the web site is not hosted by Microsoft, the link may change without notice. Microsoft does not guarantee the accuracy of this information. 

    希望以上信息能帮助到您。如还需帮助,可随时在论坛回复。

    Best regards,

    Michael


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月16日 6:01
    版主
  • 如果是下发到计算机的话就是用户配置-》策略-》Windows设置-》安全设置-》公钥策略 里面,然后也勾下AutoEnroll
    2018年7月17日 6:20
  • 你好!

    自动注册需要使用版本2或版本3证书模板。默认的用户证书模板只是版本1,没有autoenroll,并且其他设置也被禁用。所以您需要复制并新建一个用户证书模板,并且在模板上的安全选项卡中,给domain users勾上read autoenroll 的权限。

    这里有一篇关于证书自动注册设置的博客供您参考一下,

    https://blogs.technet.microsoft.com/xdot509/2012/10/18/troubleshooting-autoenrollment/

    希望以上信息可以帮助到您。

    Best regards,

    Michael


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月17日 7:54
    版主
  • 我想问下我通过新建组策略在计算机-配置-策略-》Windows设置-》安全设置-》公钥策略,里导入了证书,并更新了组策略。在客户端证书未导入计算机。是因为需要新建一个证书模板再下发吗,只有ou的管理权限是否就不能建证书服务器了?



    • 已编辑 smalfish 2018年7月18日 7:43
    2018年7月18日 7:41
  • 您好!

    是的,需要新建一个用户证书模板,才会是版本2,自动注册需要模板版本2以上。然后你先测试下手动注册用户证书,在当前用户下是否可以生成。另外证书模板上需要给相应用户添加上自动注册可读权限,并且去掉邮件名称如下图所示。

    在这个组策略设置中启用,用户配置-》策略-》Windows设置-》安全设置-》公钥策略 -》证书服务客户端自动注册, 在客户端上重新gpupdate /force, 并且使用rsop.msc命令确认组策略已经应用上。

    另外,您说的是OU中的普通用户是否可以部署配置和管理CA服务器?普通用户不可以,需要至少是CA管理员权限才可以。

    所有CA角色均由本地Administrators Enterprise AdminsDomain Admins的成员分配和修改。在企业CA上,默认情况下,本地管理员,企业管理员和域管理员是CA管理员。默认情况下,只有本地管理员才是独立CACA管理员。如果在加入Active Directory域的服务器上安装了独立CA,则域管理员也是CA管理员。

    详细信息您可以参照以下链接,

    https://social.technet.microsoft.com/wiki/contents/articles/10942.ad-cs-security-guidance.aspx

    希望以上信息可以帮助到您。

    祝工作愉快!

    Best regards,

    Michael


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月18日 9:00
    版主
  • 证书服务服务器是否可不如域,作为独立的服务器
    • 已编辑 smalfish 2018年7月18日 10:00
    2018年7月18日 9:59
  • 你好!

    对的,独立根CA服务器可以不加域,独立根ca是证书层次结构中的最高级CA,既可以是域的成员,也可以不是,因此它不需要Active Directory,但是如果存在Active Directory用于发布证书和证书吊销列表,使用Active Directory。由于独立根CA不需要Active Directory,因此可以很容易的将它从网络上断开,并设置于全的区域,这在创建安全的离线根CA时,非常有用。
    独立从属CA必须从另外一CA(父CA)上获取它的证书,其可以是域的成员,也可以不是,如果存在Active Directory用于发布证书和吊销证书时,则会使用Active Directory。

    下面有一篇讲述两层PKI的CA服务器部署的博文,您可以参照一下进行部署。

    https://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx

    Best regards,

    Michael


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月22日 11:03
    版主
  • 你好!

    请问您的这个事件进展如何?

    如果我们提供的信息对您有帮助,您可以将其标记为答案,也可以给同社区其他成员遇到同样问题的时候,有一个方案的参考。

    如还需帮助,可随时在论坛回复的。

    Best regards,

    Michael


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月26日 11:24
    版主