Tento postup můžete použít ke konfiguraci šablony certifikátu, kterou služba AD CS (Active Directory® Certificate Services) použije jako základ pro vytvoření certifikátů počítačů zapsaných pro klientské počítače domény.
Minimálním oprávněním nutným k provedení tohoto postupu je členství ve skupině Enterprise Admins a ve skupině Domain Admins kořenové domény.
Důležité informace | |
Pokud jste již nainstalovali certifikáty serveru pomocí kroků uvedených v tématu Certifikát serveru NPS: Konfigurace šablony a automatického zápisu, není třeba provádět kroky 13 až 20 tohoto postupu. Tento postup je určen ke konfiguraci automatického zápisu certifikátů počítače a shoduje se s postupem uvedeným ve výše uvedeném tématu. |
Konfigurace šablony certifikátu a automatického zápisu |
V počítači s nainstalovanou službou AD CS (Active Directory Certificate Services) klikněte na tlačítko Start, na příkaz Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.
V nabídce Soubor klikněte na příkaz Přidat nebo odebrat modul snap-in. Zobrazí se dialogové okno Přidat nebo odebrat moduly snap-in.
V seznamu Moduly snap-in k dispozici dvakrát klikněte na položku Certifikační autorita. Vyberte certifikační autoritu (CA), kterou chcete spravovat pomocí modulu snap-in, a klikněte na tlačítko Dokončit. Dialogové okno Certifikační autorita se zavře a vrátíte se do dialogového okna Přidat nebo odebrat moduly snap-in.
V seznamu Moduly snap-in k dispozici dvakrát klikněte na položku Šablony certifikátů a pak klikněte na tlačítko OK.
Ve stromu konzoly klikněte na položku Šablony certifikátů. V podokně podrobností se zobrazí všechny šablony certifikátů.
V podokně podrobností klikněte na šablonu Ověření pracovní stanice.
V nabídce Akce klikněte na příkaz Vytvořit duplikát šablony. Zobrazí se dialogové okno Vytvořit duplikát šablony. Vyberte vhodnou verzi šablony pro konkrétní nasazení a klikněte na tlačítko OK. Zobrazí se dialogové okno s vlastnostmi nové šablony.
Na kartě Obecné zadejte do pole Zobrazovaný název nový název šablony certifikátu nebo ponechejte výchozí název.
Klikněte na kartu Zabezpečení. V seznamu Název skupiny nebo jméno uživatele klikněte na položku Domain Computers.
V seznamu Oprávnění pro Domain Computers zaškrtněte ve sloupci Povolit políčka Zápis a Automatický zápis a klikněte na tlačítko OK.
Dvakrát klikněte na možnost Certifikační autorita, dvakrát klikněte na název certifikační autority a potom klikněte na položku Šablony certifikátů. V nabídce Akce přejděte na příkaz Nový a klikněte na příkaz Vystavovaná šablona certifikátu. Zobrazí se dialogové okno Povolit šablony certifikátů.
Klikněte na název šablony certifikátu, kterou jste právě nakonfigurovali, a klikněte na tlačítko OK. Pokud jste například nezměnili výchozí název šablony certifikátu, klikněte na položku Kopie - Ověření pracovní stanice a klikněte na tlačítko OK.
V počítači s nainstalovanou službou AD DS (Active Directory Domain Services) klikněte na tlačítko Start, na příkaz Spustit, zadejte příkaz mmc a klikněte na tlačítko OK.
V nabídce Soubor klikněte na příkaz Přidat nebo odebrat modul snap-in. Zobrazí se dialogové okno Přidat nebo odebrat moduly snap-in.
V dialogovém okně Přidat nebo odebrat moduly snap-in dvakrát klikněte v seznamu Moduly snap-in k dispozici na položku Editor správy zásad skupiny. Spustí se průvodce Vyberte objekt zásad skupiny. Klikněte na tlačítko Procházet a pak vyberte možnost Výchozí zásada domény. Klikněte na tlačítko OK, potom na tlačítko Dokončit a znovu na tlačítko OK.
Dvakrát klikněte na položku Výchozí zásada domény. Rozbalte položky Konfigurace počítače, Zásady, Nastavení systému Windows, Nastavení zabezpečení a potom Zásady veřejných klíčů.
V podokně podrobností dvakrát klikněte na položku Klient certifikační služby - automatický zápis. Zobrazí se dialogové okno Klient certifikační služby - automatický zápis - vlastnosti.
V dialogovém okně Klient certifikační služby - automatický zápis - vlastnosti vyberte v seznamu Konfigurační model možnost Povoleno.
Zaškrtněte políčko Obnovovat certifikáty, jejichž platnost vypršela, aktualizovat čekající certifikáty a odebírat odvolané certifikáty.
Zaškrtněte políčko Aktualizovat certifikáty, které používají šablony certifikátů a klikněte na tlačítko OK.
Další informace
Po dokončení tohoto postupu klientské počítače domény při aktualizaci zásad skupiny automaticky zapíšou certifikát klientského počítače. Chcete-li aktualizovat zásady skupiny, restartujte klientský počítač nebo z příkazového řádku spusťte příkaz gpupdate.