В этом разделе описаны процедуры и приложения, которые используются для настройки параметров политики регистрации сертификатов.

Настройка параметров политики регистрации сертификатов с помощью групповой политики

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена.

Настройка параметров политики регистрации сертификатов в групповой политике
  1. Нажмите кнопку Пуск, введите gpmc.msc в поле Найти программы и файлы и нажмите клавишу ВВОД.

  2. В дереве консоли разверните лес и домен, содержащий изменяемую политику, затем щелкните узел Объекты групповой политики.

  3. Щелкните правой кнопкой мыши политику, которую нужно изменить, и выберите команду Изменить.

  4. В дереве консоли в разделе Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.

  5. Дважды щелкните Клиент служб сертификатов - политика регистрации сертификатов. Дополнительные сведения о параметрах, представленных в этом диалоговом окне, см. в таблице «Диалоговое окно "Клиент служб сертификатов - политика регистрации сертификатов"» далее в этом разделе.

  6. Нажмите кнопку Добавить, чтобы открыть диалоговое окно Сервер политики регистрации сертификатов. Дополнительные сведения о параметрах, представленных в этом диалоговом окне, см. в таблице «Диалоговое окно "Сервер политик регистрации сертификатов"» далее в этом разделе.

  7. Выполните одно из следующих действий.

    • Чтобы добавить политику регистрации, предоставленную доменными службами Active Directory, установите флажок Использовать URI контроллера домена Active Directory по умолчанию.

    • В поле Введите URI-адрес сервера политики регистрации введите URI сервера политик регистрации сертификатов.

  8. В списке Тип проверки подлинности выберите тип проверки подлинности, необходимый серверу политик регистрации.

  9. Нажмите кнопку Проверить и просмотрите сообщение в области Свойства сервера политики регистрации сертификатов. Если URI сервера политик регистрации и тип проверки подлинности подтверждены, становится доступной кнопка Добавить.

  10. Нажмите кнопку Добавить.

Примечание

Если добавляемый сервер политик регистрации поддерживает политику регистрации, которая уже отображается в области Список политик регистрации сертификатов, то добавляемый сервер отдельно не отображается. Щелкните Свойства, чтобы проверить, отображается ли добавленный сервер политик регистрации в списке Серверы политики регистрации. Дополнительные сведения о параметрах, представленных в этом диалоговом окне, см. в таблице «Диалоговое окно "Свойства сервера политик регистрации сертификатов"» далее в этом разделе.

Сведения об интерфейсе пользователя

В приведенных ниже таблицах описаны параметры, доступные в диалоговых окнах Клиент служб сертификатов - политика регистрации сертификатов, Сервер политики регистрации сертификатов и Свойства сервера политики регистрации сертификатов.

Диалоговое окно «Клиент служб сертификатов - политика регистрации сертификатов»

ПараметрОписание

Модель конфигурации

Указывает, включен ли параметр политики в групповую политику.

Список политик регистрации сертификатов

Отображение списка политик регистрации, включенных в параметр политик. Одну из отображаемых политик необходимо указать в качестве политики по умолчанию, установив флажок По умолчанию.

Добавить

Открытие диалогового окна Сервер политики регистрации сертификатов, в котором можно добавить сервер политик регистрации.

Удалить

Удаление из списка выбранной политики регистрации и всех связанных с ней серверов политик регистрации.

Свойства

Открытие диалогового окна Свойства сервера политики регистрации сертификатов, в котором отображаются сведения о политике и список серверов политик регистрации для выбранной политики регистрации.

Отключить серверы политик регистрации, настроенные пользователем

Отключение политик регистрации, настроенных пользователями и приложениями. Используется только политика регистрации, настроенная в групповой политике.


Диалоговое окно «Сервер политик регистрации сертификатов»

ПараметрОписание

Использовать URI контроллера домена Active Directory по умолчанию

Указание URI LDAP сервера политики регистрации по умолчанию и типа Встроенная проверка подлинности Windows.

Настройка понятного имени

Кнопка доступна только тогда, когда выбран параметр Использовать URI контроллера домена Active Directory по умолчанию.

Позволяет настроить имя политики регистрации, которое отображается вместо используемого по умолчанию имени или идентификатора политики регистрации. Указанное имя видят пользователи в мастере регистрации сертификатов и других приложениях.

Примечание

Если политика регистрации поддерживается несколькими серверами политик регистрации, для каждого сервера необходимо настроить одно и то же понятное имя политики регистрации. В веб-службах политики регистрации значение понятного имени является параметром приложения и настраивается в диспетчере сервера. Если параметр понятного имени уже настроен в каждой веб-службе политики регистрации, добавьте URI этих веб-служб, прежде чем добавлять URI LDAP контроллера домена. Тогда значения понятного имени будут одинаковыми.

Введите URI-адрес сервера политики регистрации

Указание URI-адреса веб-службы политик регистрации сертификатов. Для URI необходимо использовать HTTPS.

Тип проверки подлинности

Указание типа проверки подлинности, используемого для подключения к указанному URI. Указанный тип проверки подлинности должен соответствовать типу проверки подлинности, который требуется веб-службе политик регистрации сертификатов.

Возможны следующие типы проверки подлинности.

  • Аноним. При подключении к серверу политик регистрации сертификатов не предоставляется никаких учетных данных.

  • Встроенная проверка подлинности Windows. Встроенная проверка подлинности Windows используется в протоколе Kerberos и подходит для членов домена доменных служб Active Directory.

  • Имя пользователя и пароль. Во время регистрации сертификата пользователю предлагается ввести имя пользователя и пароль.

  • Сертификаты X.509. Во время регистрации сертификата пользователю предлагается выбрать сертификат для проверки подлинности.

Проверка

Подключение к указанному URI-адресу с использованием указанного типа проверки подлинности для проверки следующих сведений.

  • Соединение SSL с сервером политик регистрации существует.

  • Сервер политик регистрации возвращает действующую политику регистрации.

  • Политика регистрации еще не включена в параметр групповой политики.

Проверка является обязательным условием добавления URI-адреса сервера политик регистрации. После успешной проверки URI-адреса и типа проверки подлинности отображаются идентификатор и понятное имя политики регистрации. Если в ходе проверки выявлены проблемы, появляется предупреждение или сообщения об ошибках.

Добавить

Добавление URI сервера политик регистрации и проверенной политики регистрации в параметр групповой политики. Кнопка Добавить становится доступной только после проверки URI сервера политик регистрации и типа проверки подлинности.


Диалоговое окно «Свойства сервера политик регистрации сертификатов»

ПараметрОписание

Серверы политики регистрации

Отображение списка серверов политик регистрации, поддерживающих политику регистрации.

Удалить

Удаление выбранного сервера политик регистрации. При удалении всех серверов политик регистрации удаляется также политика регистрации.

Включить автоматическую регистрацию и обновление

Указывает, что используется политика регистрации для автоматической регистрации, когда автоматическая регистрация разрешена.

На компьютерах под управлением Windows 7, не входящих в домен, автоматическая регистрация разрешена по умолчанию. На компьютерах, входящих в домен, автоматическую регистрацию можно разрешить в групповой политике. Описание процедур настройки автоматической регистрацией см. на странице «Управление регистрацией сертификатов» (https://go.microsoft.com/fwlink/?LinkId=143282 (страница может быть на английском языке)).

Запрашивать строгую проверку подлинности во время регистрации

Указывает, что клиенты регистрации требуют проверки пути сертификации выдающего сертификат центра сертификации во время регистрации.


Дополнительные источники информации


Содержание