U kunt deze procedure gebruiken om de certificaatsjabloon te configureren die in AD CS (Active Directory® Certificate Services) wordt gebruikt als basis voor gebruikerscertificaten die worden ingeschreven voor leden van de groep Domeingebruikers.

U moet minimaal lid zijn van de groep Enterprise Admins en de groep Domain Admins van het hoofddomein om deze procedure te kunnen uitvoeren.

De certificaatsjabloon en automatische inschrijving configureren

  1. Klik op de computer met Active Directory Certificate Services op Start, Uitvoeren, typ mmc en klik vervolgens op OK.

  2. Klik op Module toevoegen/verwijderen in het menu Bestand. Het dialoogvenster Modules toevoegen of verwijderen wordt geopend.

  3. Dubbelklik onder Beschikbare modules op Certificeringsinstantie. Selecteer de certificeringsinstantie die u wilt beheren en klik vervolgens op Voltooien. Het dialoogvenster Certificeringsinstantie wordt gesloten en u keert terug naar het dialoogvenster Modules toevoegen of verwijderen.

  4. Dubbelklik onder Beschikbare modules op Certificaatsjablonen en klik vervolgens op OK.

  5. Klik in de consolestructuur op Certificaatsjablonen. Alle certificaatsjablonen worden weergegeven in het detailvenster.

  6. Klik in het detailvenster op de sjabloon Gebruiker.

  7. Klik op Kopie van sjabloon in het menu Actie. Het dialoogvenster Kopie van sjabloon wordt geopend. Selecteer de juiste sjabloonversie voor uw implementatie en klik op OK. Het dialoogvenster met eigenschappen voor de nieuwe sjabloon wordt geopend.

  8. Typ op het tabblad Algemeen in het vak Weergavenaam een nieuwe naam voor de certificaatsjabloon of accepteer de standaardnaam.

  9. Klik op het tabblad Beveiliging. Klik onder Namen van groepen of gebruikers op Domeingebruikers.

  10. Schakel in Machtigingen voor domeingebruikers, onder Toestaan, de selectievakjes Inschrijving en Automatische inschrijving in en klik vervolgens op OK.

  11. Dubbelklik op Certificeringsinstantie, dubbelklik op de naam van de certificeringsinstantie en klik vervolgens op Certificaatsjablonen. Wijs in het menu Actie de opdracht Nieuw aan en klik vervolgens op Te verlenen certificaatsjablonen. Het dialoogvenster Certificaatsjablonen inschakelen wordt geopend.

  12. Klik op de naam van de certificaatsjabloon die u zojuist hebt geconfigureerd en klik vervolgens op OK. Als u bijvoorbeeld de standaardnaam van de certificaatsjabloon niet hebt gewijzigd, klikt u op Kopie van gebruiker en klikt u vervolgens op OK.

  13. Klik op de computer met Active Directory Domain Services op Start, Uitvoeren, typ mmc en klik vervolgens op OK.

  14. Klik op Module toevoegen/verwijderen in het menu Bestand. Het dialoogvenster Modules toevoegen of verwijderen wordt geopend.

  15. Dubbelklik in het dialoogvenster Modules toevoegen of verwijderen in de lijst Beschikbare modules op Editor voor Groepsbeleidsbeheer. De wizard Groepsbeleidobject selecteren wordt geopend. Klik op Bladeren en selecteer vervolgens Standaarddomeinbeleid. Klik op OK, klik op Voltooien en klik nogmaals op OK.

  16. Klik op Standaarddomeinbeleid. Open Gebruikersconfiguratie, Beleid, Windows-instellingen en Beveiligingsinstellingen en klik vervolgens op Openbare-sleutelbeleid.

  17. Dubbelklik in het detailvenster op Certificate Services-client - automatisch inschrijven. Het dialoogvenster Certificate Services-client - Eigenschappen voor automatisch inschrijven wordt geopend.

  18. Selecteer in het dialoogvenster Certificate Services-client - Eigenschappen voor automatisch inschrijven onder Configuratiemodel de optie Ingeschakeld.

  19. Schakel het selectievakje Verlopen certificaten vernieuwen, aangevraagde certificaten bijwerken en ingetrokken certificaten verwijderen in.

  20. Schakel het selectievakje Certificaten bijwerken die gebruikmaken van certificaatsjablonen in en klik op OK.

Aanvullende overwegingen

Wanneer u deze procedure hebt voltooid, wordt automatisch een servercertificaat ingeschreven voor domeingebruikers wanneer Groepsbeleid wordt vernieuwd. U kunt Groepsbeleid vernieuwen door de clientcomputer opnieuw te starten of door bij de opdrachtprompt gpupdate uit te voeren.

Zorg ervoor dat alle juiste domeinsysteemcontainers zijn geconfigureerd voor de automatische inschrijving van gebruikerscertificaten door groepsbeleidsinstellingen van een bovenliggende systeemcontainer over te nemen of via expliciete configuratie.

Inhoudsopgave