W niniejszym temacie opisano procedury i aplikacje używane do konfigurowania ustawień zasad rejestracji certyfikatów.

Konfigurowanie ustawień zasad rejestracji certyfikatów za pomocą zasad grupy

Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy domeny.

Aby skonfigurować ustawienia zasad rejestracji certyfikatów w zasadach grupy
  1. Kliknij przycisk Start, w polu Wyszukaj programy i pliki wpisz polecenie gpmc.msc, a następnie naciśnij klawisz ENTER.

  2. W drzewie konsoli rozwiń las i domenę zawierające zasadę, którą chcesz edytować, a następnie kliknij pozycję Obiekty zasad grupy.

  3. Kliknij prawym przyciskiem myszy zasadę, którą chcesz edytować, a następnie kliknij polecenie Edytuj.

  4. W drzewie konsoli w węźle Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń kliknij pozycję Zasady kluczy publicznych.

  5. Kliknij dwukrotnie pozycję Klient usług certyfikatów - Zasady rejestracji certyfikatów. Aby uzyskać więcej informacji na temat ustawień w tym oknie dialogowym, zobacz tabelę „Okno dialogowe Właściwości: Klient usług certyfikatów - Zasady rejestracji certyfikatów” w dalszej części tego tematu.

  6. Kliknij przycisk Dodaj, aby otworzyć okno dialogowe Serwer zasad rejestracji certyfikatu. Aby uzyskać więcej informacji na temat ustawień w tym oknie dialogowym, zobacz tabelę „Okno dialogowe Serwer zasad rejestracji certyfikatu” w dalszej części tego tematu.

  7. Wykonaj jedną z następujących czynności:

    • Aby dodać zasady rejestracji dostarczane przez Usługi domenowe w usłudze Active Directory (AD DS), zaznacz pole wyboru Użyj domyślnego identyfikatora URI kontrolera domeny usługi Active Directory.

    • W polu Wprowadź identyfikator URI serwera zasad rejestracji wpisz identyfikator URI serwera zasad rejestracji certyfikatu.

  8. Na liście Typ uwierzytelniania zaznacz typ uwierzytelniania wymagany przez serwer zasad rejestracji.

  9. Kliknij przycisk Sprawdź poprawność, a następnie przejrzyj komunikaty wyświetlane w obszarze Właściwości serwera zasad rejestracji certyfikatu. Przycisk Dodaj jest dostępny tylko w przypadku, gdy identyfikator URI serwera zasad rejestracji i typ uwierzytelniania są prawidłowe.

  10. Kliknij przycisk Dodaj.

Uwaga

Jeśli dodany serwer zasad rejestracji obsługuje zasady rejestracji, które są już wyświetlone w obszarze Lista zasad rejestracji certyfikatów, nie będzie wyświetlany oddzielnie. Kliknij przycisk Właściwości, aby upewnić się, że dodany serwer zasad rejestracji jest wyświetlany na liście Serwery zasad rejestracji. Aby uzyskać więcej informacji na temat ustawień w tym oknie dialogowym, zobacz tabelę „Okno dialogowe Właściwości serwera zasad rejestracji certyfikatu” w dalszej części tego tematu.

Informacje dotyczące interfejsu użytkownika

W poniższych tabelach opisano ustawienia dostępne w oknach dialogowych Właściwości: Klient usług certyfikatów - Zasady rejestracji certyfikatów, Serwer zasad rejestracji certyfikatu oraz Właściwości serwera zasad rejestracji certyfikatu.

Okno dialogowe Właściwości: Klient usług certyfikatów - Zasady rejestracji certyfikatów

UstawienieOpis

Model konfiguracji

Określa, czy w zasadach grupy włączono ustawienie zasad.

Lista zasad rejestracji certyfikatów

Wyświetla listę zasad rejestracji, które są elementem ustawienia zasad. Jedna z wyświetlanych zasad musi być ustawiona jako domyślna przez zaznaczenie pola wyboru Domyślne.

Dodaj

Otwiera okno dialogowe Serwer zasad rejestracji certyfikatu, które służy do dodawania serwera zasad rejestracji.

Usuń

Usuwa z listy zaznaczone zasady rejestracji oraz wszystkie skojarzone serwery zasad rejestracji.

Właściwości

Otwiera okno dialogowe Właściwości serwera zasad rejestracji certyfikatu, w którym są wyświetlane szczegóły zasad i lista serwerów zasad rejestracji dla zaznaczonych zasad rejestracji.

Wyłącz zasady rejestracji skonfigurowane przez użytkownika

Wyłącza zasady rejestracji skonfigurowane przez użytkowników i aplikacje. Używane są tylko zasady rejestracji skonfigurowane w zasadach grupy.


Okno dialogowe Serwer zasad rejestracji certyfikatu

UstawienieOpis

Użyj domyślnego identyfikatora URI kontrolera domeny usługi Active Directory

Określa domyślny identyfikator URI LDAP serwera zasad rejestracji oraz typ uwierzytelniania Zintegrowany z systemem Windows.

Konfiguruj przyjazną nazwę

Ten przycisk jest dostępny tylko w przypadku, gdy zaznaczono pole wyboru Użyj domyślnego identyfikatora URI kontrolera domeny usługi Active Directory.

Służy do konfigurowania nazwy zasad rejestracji, które są wyświetlane zamiast domyślnej nazwy zasad lub identyfikatora zasad rejestracji. Podana nazwa jest widoczna dla użytkowników w kreatorze Rejestracja certyfikatów i w innych aplikacjach.

Uwaga

Jeśli te same zasady rejestracji są obsługiwane przez więcej niż jeden serwer zasad, dla każdego z nich należy skonfigurować używanie tej samej przyjaznej nazwy zasad rejestracji. W usługach sieci Web dotyczących zasad rejestrowania wartość określająca przyjazną nazwę jest ustawieniem aplikacji, które jest konfigurowane za pomocą Menedżera serwera. Jeśli ustawienie przyjaznej nazwy jest już skonfigurowane w każdej usłudze sieci Web dotyczącej zasad rejestracji, identyfikatory URI usługi sieci Web zasad rejestracji należy dodać przed dodaniem identyfikatora URI LDAP kontrolera domeny. Dzięki temu wartości określające przyjazne nazwy będą takie same.

Wprowadź identyfikator URI serwera zasad rejestracji

Określa identyfikator URI Usługi sieci Web uzyskiwania informacji na temat zasad rejestracji certyfikatu. Identyfikator URI musi korzystać z protokołu HTTPS.

Typ uwierzytelniania

Określa typ uwierzytelniania używanego do łączenia się z określonym identyfikatorem URI. Podany typ uwierzytelniania musi być zgodny z typem uwierzytelniania wymaganym przez Usługę sieci Web uzyskiwania informacji na temat zasad rejestracji certyfikatu.

Dostępne są następujące typy uwierzytelniania:

  • Anonimowy. Podczas łączenia się z serwerem zasad rejestracji certyfikatu nie są podawane żadne poświadczenia.

  • Zintegrowany z systemem Windows. Uwierzytelnianie zintegrowane z systemem Windows używa protokołu Kerberos i jest odpowiednim rozwiązaniem dla elementów członkowskich domeny usług AD DS.

  • Nazwa użytkownika/hasło. Podczas rejestracji certyfikatu zostanie wyświetlony monit o wprowadzenie nazwy użytkownika i hasła.

  • Certyfikat X.509. Podczas rejestracji certyfikatu zostanie wyświetlony monit o wybranie certyfikatu na potrzeby uwierzytelniania.

Sprawdź poprawność

Łączy się z określonym identyfikatorem URI za pomocą określonego typu uwierzytelniania w celu zweryfikowania następujących szczegółów:

  • Istnieje połączenie SSL z serwerem zasad rejestracji.

  • Serwer zasad rejestracji zwraca prawidłowe zasady rejestracji.

  • Określone zasady rejestracji nie są jeszcze uwzględnione w ustawieniu zasad grupy.

Przed dodaniem identyfikatora URI serwera zasad rejestracji jest wymagane sprawdzenie poprawności. Jeśli określony identyfikator URI i typ uwierzytelniania są prawidłowe, zostaną wyświetlone: identyfikator zasad rejestracji oraz przyjazna nazwa. W przypadku wystąpienia problemów ze sprawdzaniem poprawności są wyświetlane ostrzeżenia lub komunikaty o błędach.

Dodaj

Dodaje do ustawienia zasad grupy identyfikator URI serwera zasad rejestracji oraz sprawdzone pod względem poprawności zasady rejestracji. Przycisk Dodaj staje się dostępny po sprawdzeniu poprawności identyfikatora URL serwera zasad rejestracji oraz typu uwierzytelniania.


Okno dialogowe Właściwości serwera zasad rejestracji certyfikatu

UstawienieOpis

Lista serwerów zasad rejestracji

Wyświetla listę serwerów zasad rejestracji obsługujących określone zasady rejestracji.

Usuń

Usuwa zaznaczony serwer zasad rejestracji. W przypadku usunięcia wszystkich serwerów zasad rejestracji zostaną usunięte również odpowiednie zasady rejestracji.

Włącz automatyczną rejestrację i odnawianie

Określa, że w przypadku włączenia autorejestrowania są stosowane zasady rejestracji.

Na komputerach z systemem Windows 7, które nie są elementami członkowskimi domeny, autorejestrowanie jest włączone domyślnie. Na komputerach będących elementami członkowskimi domeny autorejestrowanie musi zostać włączone w zasadach grupy. Aby zapoznać się z procedurami konfiguracji autorejestrowania, zobacz artykuł Zarządzanie rejestracją certyfikatów (https://go.microsoft.com/fwlink/?LinkId=143282 - strona może zostać wyświetlona w języku angielskim).

Wymagaj silnej weryfikacji podczas rejestracji

Określa, że podczas rejestracji klienci rejestracji wymagają sprawdzenia poprawności ścieżki certyfikacji wystawiającego urzędu certyfikacji.


Dodatkowe informacje


Spis treści