Sie können dieses Verfahren verwenden, um die Zertifikatvorlage zu konfigurieren, die von Active Directory®-Zertifikatdiensten (Active Directory Certificate Services, AD CS) als Grundlage für Benutzerzertifikate, die für Mitglieder der Benutzergruppe der Domäne registriert sind, verwendet wird.
Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in den Gruppen Enterprise Admins und Domain Admins der Stammdomäne erforderlich.
So konfigurieren Sie die Zertifikatvorlage und die automatische Registrierung |
Klicken Sie auf dem Computer, auf dem die Active Directory-Zertifikatsdienste installiert sind, auf Start, klicken Sie anschließend auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird geöffnet.
Doppelklicken Sie unter Verfügbare Snap-Ins auf Zertifizierungsstelle. Wählen Sie die Zertifizierungsstelle (Certification Authority, CA) aus, die Sie verwalten möchten, und klicken Sie dann auf Fertig stellen. Das Dialogfeld Zertifizierungsstelle wird geschlossen, und das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird wieder angezeigt.
Doppelklicken Sie unter Verfügbare Snap-Ins auf Zertifikatvorlagen, und klicken Sie dann auf OK.
Klicken Sie in der Konsolenstruktur auf Zertifikatvorlagen. Alle Zertifikatvorlagen werden im Detailbereich angezeigt.
Klicken Sie im Detailbereich auf die Vorlage Benutzer.
Klicken Sie im Menü Aktion auf Doppelte Vorlage. Das Dialogfeld Doppelte Vorlage wird geöffnet. Wählen Sie die Vorlagenversion entsprechend der Bereitstellung aus, und klicken Sie dann auf OK. Das Dialogfeld mit den Eigenschaften der neuen Vorlage wird geöffnet.
Geben Sie auf der Registerkarte Allgemein in das Feld Anzeigename einen neuen Namen für die Zertifikatvorlage ein, oder übernehmen Sie den Standardnamen.
Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie unter Gruppen- oder Benutzernamen auf Domänenbenutzer.
Aktivieren Sie im Feld Berechtigungen für Domänenbenutzer unter Zulassen die Kontrollkästchen Registrieren und Automatisch registrieren, und klicken Sie dann auf OK.
Doppelklicken Sie auf Zertifizierungsstelle, doppelklicken Sie auf den Zertifizierungsstellennamen, und klicken Sie dann auf Zertifikatvorlagen. Zeigen Sie im Menü Aktion auf Neu, und klicken Sie auf Auszustellende Zertifikatvorlage. Das Dialogfeld Zertifikatvorlagen aktivieren wird geöffnet.
Klicken Sie auf den Namen der soeben konfigurierten Zertifikatvorlage, und klicken Sie dann auf OK. Wenn Sie beispielsweise den standardmäßigen Zertifikatvorlagennamen nicht geändert haben, klicken Sie auf Kopie von Benutzer, und klicken Sie dann auf OK.
Klicken Sie auf dem Computer, auf dem die Active Directory-Domänendienste installiert sind, auf Start, klicken Sie anschließend auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Das Dialogfeld Snap-Ins hinzufügen bzw. entfernen wird geöffnet.
Doppelklicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap-Ins auf Gruppenrichtlinienverwaltungs-Editor. Der Assistent Gruppenrichtlinienobjekt auswählen wird geöffnet. Klicken Sie auf Durchsuchen, und wählen Sie dann Standarddomänenrichtlinie aus. Klicken Sie auf OK, dann auf Fertig stellen und anschließend erneut auf OK.
Klicken Sie auf Standarddomänenrichtlinie. Öffnen Sie nacheinander Benutzerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und dann Richtlinien öffentlicher Schlüssel.
Doppelklicken Sie im Detailbereich auf Zertifikatdiensteclient - automatische Registrierung. Das Dialogfeld Eigenschaften von Zertifikatdiensteclient - automatische Registrierung wird geöffnet.
Wählen Sie im Dialogfeld Eigenschaften von Zertifikatdiensteclient - automatische Registrierung unter Konfigurationsmodell die Option Aktiviert aus.
Aktivieren Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen.
Aktivieren Sie das Kontrollkästchen Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren, und klicken Sie dann auf OK.
Weitere Überlegungen
Nachdem Sie dieses Verfahren abgeschlossen haben, führen Domänenbenutzer eine automatische Registrierung eines Benutzerzertifikats aus, wenn die Gruppenrichtlinien aktualisiert werden. Zum Aktualisieren der Gruppenrichtlinien starten Sie den Clientcomputer neu, oder führen Sie an der Eingabeaufforderung gpupdate aus.
Stellen Sie sicher, dass für alle betreffenden Domänensystemcontainer die automatische Registrierung von Benutzerzertifikaten konfiguriert ist, und zwar über die Vererbung der Gruppenrichtlinieneinstellungen eines übergeordneten Systemcontainers oder aber über die explizite Konfiguration.