Tento postup můžete použít ke konfiguraci šablony certifikátu, kterou služba AD CS (Active Directory® Certificate Services) použije jako základ pro vytvoření uživatelských certifikátů zapsaných pro členy skupiny Domain Users.

Minimálním oprávněním nutným k provedení tohoto postupu je členství ve skupině Enterprise Admins a ve skupině Domain Admins kořenové domény.

Konfigurace šablony certifikátu a automatického zápisu

  1. V počítači s nainstalovanou službou AD CS (Active Directory Certificate Services) klikněte na tlačítko Start, na příkaz Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.

  2. V nabídce Soubor klikněte na příkaz Přidat nebo odebrat modul snap-in. Zobrazí se dialogové okno Přidat nebo odebrat moduly snap-in.

  3. V seznamu Moduly snap-in k dispozici dvakrát klikněte na položku Certifikační autorita. Vyberte certifikační autoritu (CA), kterou chcete spravovat, a klikněte na tlačítko Dokončit. Dialogové okno Certifikační autorita se zavře a vrátíte se do dialogového okna Přidat nebo odebrat moduly snap-in.

  4. V seznamu Moduly snap-in k dispozici dvakrát klikněte na položku Šablony certifikátů a pak klikněte na tlačítko OK.

  5. Ve stromu konzoly klikněte na položku Šablony certifikátů. V podokně podrobností se zobrazí všechny šablony certifikátů.

  6. V podokně podrobností klikněte na šablonu Uživatel.

  7. V nabídce Akce klikněte na příkaz Vytvořit duplikát šablony. Zobrazí se dialogové okno Vytvořit duplikát šablony. Vyberte vhodnou verzi šablony pro konkrétní nasazení a klikněte na tlačítko OK. Zobrazí se dialogové okno s vlastnostmi nové šablony.

  8. Na kartě Obecné zadejte do pole Zobrazovaný název nový název šablony certifikátu nebo ponechejte výchozí název.

  9. Klikněte na kartu Zabezpečení. V seznamu Název skupiny nebo jméno uživatele klikněte na položku Domain Users.

  10. V seznamu Oprávnění pro Domain Users zaškrtněte ve sloupci Povolit políčka Zápis a Automatický zápis a klikněte na tlačítkoOK.

  11. Dvakrát klikněte na možnost Certifikační autorita, dvakrát klikněte na název certifikační autority a potom klikněte na položku Šablony certifikátů. V nabídce Akce přejděte na příkaz Nový a klikněte na příkaz Vystavovaná šablona certifikátu. Zobrazí se dialogové okno Povolit šablony certifikátů.

  12. Klikněte na název šablony certifikátu, kterou jste právě nakonfigurovali, a klikněte na tlačítko OK. Pokud jste například nezměnili název výchozí šablony certifikátu, klikněte na položku Kopie - Uživatel a klikněte na tlačítko OK.

  13. V počítači s nainstalovanou službou AD DS (Active Directory Domain Services) klikněte na tlačítko Start, na příkaz Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.

  14. V nabídce Soubor klikněte na příkaz Přidat nebo odebrat modul snap-in. Zobrazí se dialogové okno Přidat nebo odebrat moduly snap-in.

  15. V dialogovém okně Přidat nebo odebrat moduly snap-in dvakrát klikněte v seznamu Moduly snap-in k dispozici na položku Editor správy zásad skupiny. Spustí se průvodce Vyberte objekt zásad skupiny. Klikněte na tlačítko Procházet a pak vyberte možnost Výchozí zásada domény. Klikněte na tlačítko OK, potom na tlačítko Dokončit a znovu na tlačítko OK.

  16. Dvakrát klikněte na položku Výchozí zásada domény. Rozbalte položky Konfigurace uživatele, Zásady, Nastavení systému Windows, Nastavení zabezpečení a potom Zásady veřejných klíčů.

  17. V podokně podrobností dvakrát klikněte na položku Klient certifikační služby - automatický zápis. Zobrazí se dialogové okno Klient certifikační služby - automatický zápis - vlastnosti.

  18. V dialogovém okně Klient certifikační služby - automatický zápis - vlastnosti vyberte v seznamu Konfigurační model možnost Povoleno.

  19. Zaškrtněte políčko Obnovovat certifikáty, jejichž platnost vypršela, aktualizovat čekající certifikáty a odebírat odvolané certifikáty.

  20. Zaškrtněte políčko Aktualizovat certifikáty, které používají šablony certifikátů a klikněte na tlačítko OK.

Další požadavky

Po dokončení tohoto postupu uživatelé domény při aktualizaci zásad skupiny automaticky zapíšou uživatelský certifikát. Chcete-li aktualizovat zásady skupiny, restartujte klientský počítač nebo z příkazového řádku spusťte příkaz gpupdate.

Všechny příslušné systémové kontejnery domény musí být nakonfigurovány pro automatický zápis uživatelských certifikátů, a to buď prostřednictvím nastavení zásad skupiny zděděného z nadřazeného systémového kontejneru nebo explicitní konfigurací.

Obsah