您可以使用此过程来配置 Active Directory(R) 证书服务 (AD CS) 用作用户证书(向域用户组成员注册)基础的证书模板。

若要完成此过程,至少要具有 Enterprise Admins 组和根域的 Domain Admins 组的成员身份。

配置证书模板和自动注册的步骤
  1. 在安装 Active Directory 证书服务的计算机上,单击“开始”,单击“运行”,键入 mmc,然后单击“确定”

  2. “文件”菜单上,单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对话框。

  3. “可用的管理单元”中,双击“证书颁发机构”。选择要管理的证书颁发机构 (CA),然后单击“完成”。此时将关闭“证书颁发机构”对话框,返回到“添加或删除管理单元”对话框。

  4. “可用的管理单元”中,双击“证书模板”,然后单击“确定”

  5. 在控制台树中,单击“证书模板”。所有证书模板将显示在细节窗格中。

  6. 在细节窗格中,单击“用户”模板。

  7. “操作”菜单上,单击“复制模板”。此时将打开“复制模板”对话框。选择适合您部署的模板版本,然后单击“确定”。此时将打开新的模板属性对话框。

  8. “常规”选项卡上的“显示名称”中,键入证书模板的新名称,或保留默认名称。

  9. 单击“安全”选项卡。在“组或用户名”中,单击“域用户”

  10. “域用户的权限”中,选中“允许”下的“注册”“自动注册”权限复选框,然后单击“确定”

  11. 双击“证书颁发机构”,双击 CA 名称,然后单击“证书模板”。在“操作”菜单上,指向“新建”,然后单击“要颁发的证书模板”。此时将打开“启用证书模板”对话框。

  12. 单击刚刚配置的证书模板的名称,然后单击“确定”。例如,如果未更改默认证书模板名称,请单击“用户副本”,然后单击“确定”

  13. 在安装 Active Directory 域服务 (AD DS) 的计算机上,单击“开始”,单击“运行”,键入 mmc,然后单击“确定”

  14. “文件”菜单上,单击“添加/删除管理单元”。此时将打开“添加或删除管理单元”对话框。

  15. “添加或删除管理单元”对话框中,双击“可用管理单元”中的“组策略管理编辑器”。此时将打开“选择组策略对象”向导。单击“浏览”,然后选择“默认域策略”。单击“确定”,单击“完成”,然后再单击“确定”

  16. 单击“默认域策略”。依次打开“用户配置”“策略”“Windows 设置”“安全设置”“公钥策略”

  17. 在细节窗格中,双击“证书服务客户端 - 自动注册”。此时将打开“证书服务客户端 - 自动注册属性”对话框。

  18. “证书服务客户端 – 自动注册属性”对话框的“配置型号”中,选择“已启用”

  19. 选中“续订过期证书、更新未决证书并删除吊销的证书”复选框。

  20. 选中“更新使用证书模板的证书”复选框,然后单击“确定”

其他注意事项

完成此过程后,刷新组策略时域用户将自动注册用户证书。若要刷新组策略,请重新启动客户端计算机,或者在命令提示符下运行 gpupdate

请确保所有适当的域系统容器都被配置为可通过继承父系统容器的组策略设置或通过显式配置自动注册用户证书。


目录