系統管理員使用 [延伸驗證] 索引標籤來新增延伸驗證 (EV) 憑證原則到由群組原則發佈的根憑證。新增 EV 憑證原則到根憑證及發給內部網路網站的憑證可做為指出網站值得信任的視覺指示器。
必須完成這些程序才能使用內部網路網站的 EV 憑證。
- 新增 EV 憑證原則到憑證範本。
- 新增 EV 憑證原則到根憑證。
- 簽發 EV 憑證到內部網路網站。
新增 EV 憑證原則到憑證範本
除了根憑證以外,EV 憑證原則必也包含在發給內部網路網站的憑證中,以及在憑證路徑中所有簽發的憑證授權單位 (CA) 憑證中。
在這個程序中,您可以修改曾經發給組織之網頁伺服器憑證的憑證範本,或修改任何符合下列需求的憑證範本:
- 憑證範本是第 2 版或第 3 版。
- 憑證用途包含簽章及加密。
- 應用程式原則延伸包含伺服器驗證。
簽發的 CA 必須符合下列需求:
- 簽發 CA 憑證的憑證路徑包括包含 EV 憑證原則的根憑證。
- 簽發的 CA 憑證包含所有發行原則或 EV 憑證原則。
- 簽發的 CA 是企業 CA。
若要完成此程序,至少需要 Enterprise Admins 群組成員資格。
新增 EV 憑證原則到憑證範本 |
在簽發的 CA 上,開啟伺服器管理員。在主控台樹狀目錄中,依序展開 [角色] 及 [Active Directory 憑證服務],然後按一下 [憑證範本]。
按兩下將憑證發給內部網路網站的範本。
按一下 [延伸] 索引標籤。
按一下 [應用程式原則],然後按一下 [編輯] 以開啟 [編輯應用程式原則延伸] 對話方塊。
按一下 [新增] 以開啟 [新增應用程式原則] 對話方塊。
按一下 [新增] 以開啟 [新的應用程式原則] 對話方塊。
輸入 EV 憑證原則的名稱。此名稱會顯示在已簽發之憑證延伸,及憑證範本嵌入式管理單元中的範本內容中。
唯一物件識別碼 (也稱為 OID) 的值是自動產生的。複製物件識別碼的值,在下列程序中使用。按一下 [確定]。
在 [應用程式原則] 清單中,選取您建立的原則。按一下 [確定]。
按一下 [確定] 以儲存應用程式原則延伸。在 [延伸] 索引標籤上,確認在 [應用程式原則描述] 方塊中顯示 EV 憑證原則。
按一下 [安全性] 索引標籤。確認要求內部網路網站憑證的群組或使用者,具有 [讀取] 及 [註冊] 權限。
按一下 [確定] 儲存憑證範本。
在主控台樹狀目錄中,按兩下 CA。
在主控台樹狀目錄中,在 [憑證範本] 上按一下滑鼠右鍵,再按一下 [新增],然後按一下 [要發出的憑證範本] 以開啟 [啟用憑證範本] 對話方塊。
選取具有 EV 憑證原則的憑證範本,然後按一下 [確定]。
新增 EV 憑證原則到根憑證
若要完成此程序,至少需要 Enterprise Admins 群組成員資格。
新增 EV 憑證原則到根憑證 |
按一下 [開始],然後按一下 [執行]。輸入 gpmc.msc,然後按一下 [確定] 以開啟群組原則管理主控台 (GPMC)。
在主控台樹狀目錄中,展開包含您想要編輯原則的樹系及網域,然後按一下 [群組原則物件]。
在您要編輯的原則上按一下滑鼠右鍵,然後按一下 [編輯]。
在主控台樹狀目錄中,在 [電腦設定] 下,依序展開 [原則]、[Windows 設定]、[安全性設定]、[公開金鑰原則] 及 [受信任的根憑證授權單位]。
如果沒有顯示根憑證,則請從根 CA 匯出憑證 CA,再將憑證匯入到 [受信任的根憑證授權單位]。請參閱匯出憑證。
在根憑證上按一下滑鼠右鍵,然後按一下 [內容],然後再按一下 [延伸驗證] 索引標籤。
輸入組織中代表 EV 憑證原則的物件識別碼值。如果您要使用上一個程序建立的 EV 憑證原則,請使用相同的物件識別碼值。
按一下 [新增 OID],然後按一下 [確定] 儲存變更。
附註 | |
在群組原則中的變更由網域成員定期套用,將根據群組原則重新整理間隔、電腦啟動期間及使用者登入期間來進行。重新顯示的間隔預設值是 90 分鐘。若要立刻對網域成員重新整理群組原則,請執行 Gpupdate 命令。 |
簽發 EV 憑證
請遵循這些相關主題中的程序,在您的內部網路網頁伺服器中要求及安裝 EV 憑證:
- 在內部網路網頁伺服器上,開啟本機電腦的憑證嵌入式管理單元。請參閱新增憑證嵌入式管理單元到 MMC。
- 要求 EV 憑證。請參閱使用憑證要求精靈要求憑證。
- 設定網站繫結。請參閱<新增或編輯網站繫結對話方塊>(
https://go.microsoft.com/fwlink/?LinkId=143106 (可能為英文網頁) )。
其他參考資料