In dit onderwerp worden de procedures en toepassingen besproken waarmee de instellingen voor certificaatinschrijvingsbeleid worden geconfigureerd.

Instellingen voor certificaatinschrijvingsbeleid configureren met behulp van Groepsbeleid

Het minimaal vereiste groepslidmaatschap om deze procedure te voltooien, is Domeinadministrators.

Instellingen voor certificaatinschrijvingsbeleid configureren in Groepsbeleid

  1. Klik op Start, typ gpmc.msc in het vak Zoeken in programma's en bestanden en druk vervolgens op ENTER.

  2. Vouw in de consolestructuur de forest en het domein uit die het beleid bevatten dat u wilt bewerken, en klik op Groepsbeleidsobjecten .

  3. Klik met de rechtermuisknop op het beleid dat u wilt bewerken, en klik vervolgens op Bewerken.

  4. Klik in de consolestructuur onder Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen op Openbare-sleutelbeleid.

  5. Dubbelklik op Certificate Services-client - certificaatinschrijvingsbeleid. Zie de tabel 'Dialoogvenster Certificate Services-client - Eigenschappen van het certificaatinschrijvingsbeleid' verderop in dit onderwerp voor meer informatie over de instellingen in dit dialoogvenster.

  6. Klik op Toevoegen om het dialoogvenster Server voor certificaatinschrijvingsbeleid te openen. Zie de tabel 'Dialoogvenster Server voor certificaatinschrijvingsbeleid' verderop in dit onderwerp voor meer informatie over de instellingen in dit dialoogvenster.

  7. Ga op een van de volgende manieren te werk:

    • U voegt het inschrijvingsbeleid toe dat wordt aangeleverd door Active Directory Domain Services (AD DS), door het selectievakje URI van standaard-Active Directory Domain Services-domeincontroller gebruiken in te schakelen.

    • Typ in het vak URI van inschrijvingsbeleidsserver invoeren de URI van de server voor certificaatinschrijvingsbeleid.

  8. Selecteer in de lijst Verificatietype het benodigde verificatietype voor de inschrijvingsbeleidsserver.

  9. Klik op Valideren en bekijk de berichten in het gedeelte Eigenschappen van server voor certificaatinschrijvingsbeleid. De knop Toevoegen is alleen beschikbaar als de URI van de inschrijvingsbeleidsserver en het verificatietype geldig zijn.

  10. Klik op Toevoegen.
Opmerking

Als de toegevoegde inschrijvingsbeleidsserver een inschrijvingsbeleid ondersteunt dat reeds in Lijst voor certificaatinschrijvingsbeleid staat, wordt de toegevoegde server niet nog eens afzonderlijk weergegeven. Klik op Eigenschappen om te controleren of de toegevoegde inschrijvingsbeleidsserver in de lijst Inschrijvingsbeleidsservers staat. Zie de tabel 'Dialoogvenster Eigenschappen van server voor certificaatinschrijvingsbeleid' verderop in dit onderwerp voor meer informatie over de instellingen in dit dialoogvenster.

Verwijzing voor gebruikersinterface

In de volgende tabellen worden de instellingen uit de dialoogvensters Certificate Services-client - Eigenschappen van het certificaatinschrijvingsbeleid, Server voor certificaatinschrijvingsbeleid en Eigenschappen van server voor certificaatinschrijvingsbeleid beschreven.

Het dialoogvenster Certificate Services-client - Eigenschappen van het certificaatinschrijvingsbeleid

InstellingOmschrijving

Configuratiemodel

Hiermee geeft u op of de beleidsinstelling in Groepsbeleid is ingeschakeld.

Lijst voor certificaatinschrijvingsbeleid

Hiermee geeft u de lijst met inschrijvingsbeleidsregels uit de beleidsinstelling weer. Een van de weergegeven beleidsregels moet worden ingesteld als het standaardbeleid door het selectievakje Standaard in te schakelen.

Toevoegen

Hiermee opent u het dialoogvenster Server voor certificaatinschrijvingsbeleid, waarmee u een inschrijvingsbeleidsserver kunt toevoegen.

Verwijderen

Hiermee verwijdert u het geselecteerde inschrijvingsbeleid en alle bijbehorende inschrijvingsbeleidsservers uit de lijst.

Eigenschappen

Hiermee opent u het dialoogvenster Eigenschappen van server voor certificaatinschrijvingsbeleid. In dit dialoogvenster staan de beleidsdetails en een lijst met inschrijvingsbeleidsservers voor het geselecteerde inschrijvingsbeleid.

Door de gebruiker geconfigureerde inschrijvingsbeleid uitschakelen

Hiermee schakelt u het inschrijvingsbeleid uit dat door gebruikers en toepassingen is geconfigureerd. Er wordt dan alleen een inschrijvingsbeleid gebruikt dat in Groepsbeleid is geconfigureerd.


Het dialoogvenster Server voor certificaatinschrijvingsbeleid

InstellingOmschrijving

URI van standaard-Active Directory Domain Services-domeincontroller gebruiken

Hiermee geeft u de LDAP URI van de standaardinschrijvingsbeleidsserver en het verificatietype Met Windows geïntegreerd op.

Beschrijvende naam configureren

Deze knop is alleen beschikbaar wanneer de optie URI van standaard-Active Directory Domain Services-domeincontroller gebruiken is geselecteerd.

Via deze knop kunt u een naam voor het inschrijvingsbeleid opgeven die wordt weergegeven in plaats van de standaardbeleidsnaam of inschrijvingsbeleids-id. Deze naam wordt weergegeven in de wizard Certificaatinschrijving en in andere toepassingen.

Opmerking

Als hetzelfde inschrijvingsbeleid door meerdere inschrijvingsbeleidsservers wordt ondersteund, moet elke server zodanig worden ingesteld dat dezelfde omschrijvende naam van het inschrijvingsbeleid wordt gebruikt. In de webservice voor inschrijvingsbeleid is de waarde van de omschrijvende naam een toepassingsinstelling die met behulp van Serverbeheer is geconfigureerd. Als de instelling voor de omschrijvende naam reeds in elke webservice voor inschrijvingsbeleid is geconfigureerd, voegt u de URI's van de webservice voor inschrijvingsbeleid toe voordat u de LDAP URI van de domeincontroller toevoegt. De waarden van de omschrijvende naam zijn zo gegarandeerd gelijk.

URI van inschrijvingsbeleidsserver invoeren

Hiermee geeft u de URI van de webservice voor het certificaatinschrijvingsbeleid op. De URI moet HTTPS gebruiken.

Verificatietype

Hiermee geeft u het type verificatie op waarmee verbinding met de opgegeven URI wordt gemaakt. Het opgegeven verificatietype moet overeenkomen met het verificatietype dat nodig is voor de webservice Certificaatinschrijvingsbeleid.

De volgende verificatietypen zijn beschikbaar:

  • Anoniem. Er worden geen referenties opgegeven wanneer er verbinding met de certificaatinschrijvingsserver wordt gemaakt.

  • Met Windows geïntegreerd. De met Windows geïntegreerde verificatie gebruikt het Kerberos-protocol en is geschikt voor AD DS-domeinleden.

  • Gebruikersnaam/wachtwoord. Tijdens het inschrijven van een certificaat worden gebruikers gevraagd een gebruikersnaam en wachtwoord op te geven.

  • X.509-certificaat. Tijdens het inschrijven van een certificaat worden gebruikers gevraagd het certificaat te selecteren dat moet worden geverifieerd.

Valideren

Maakt verbinding met de opgegeven URI door gebruik te maken van het opgegeven verificatietype voor het verifiëren van de volgende details:

  • Er is al een SSL-verbinding met de inschrijvingsbeleidsserver tot stand gebracht.

  • Door de inschrijvingsbeleidsserver wordt er een geldig inschrijvingsbeleid geretourneerd.

  • Het inschrijvingsbeleid is nog niet opgenomen in de groepsbeleidsinstelling.

De URI van een inschrijvingsbeleidsserver moet worden gevalideerd voordat die kan worden toegevoegd. Als de opgegeven URI en het verificatietype geldig zijn, worden de id en de beschrijvende naam van het inschrijvingsbeleid weergegeven. Er worden waarschuwings- of foutberichten weergeven als er problemen zijn met de validatie.

Toevoegen

Hiermee voegt u de URI van de inschrijvingsbeleidsserver en het gevalideerde inschrijvingsbeleid aan de groepsbeleidsinstelling toe. De knop Toevoegen is alleen beschikbaar nadat de URI van de inschrijvingsbeleidsserver en het verificatietype zijn gevalideerd.


Het dialoogvenster Eigenschappen van server voor certificaatinschrijvingsbeleid

InstellingOmschrijving

Lijst inschrijvingsbeleidsservers

Hiermee geeft u de lijst met inschrijvingsbeleidsservers weer die het inschrijvingsbeleid ondersteunen.

Verwijderen

Hiermee verwijdert u de geselecteerde inschrijvingsbeleidsserver. Als alle inschrijvingsbeleidsservers worden verwijderd, wordt ook het inschrijvingsbeleid verwijderd.

Inschakelen voor automatische inschrijving en vernieuwing

Hiermee geeft u op dat het inschrijvingsbeleid wordt gebruikt voor automatisch inschrijven als deze vorm van inschrijven is ingeschakeld.

Op computers met Windows 7 die geen lid van een domein zijn, is automatische inschrijving standaard ingeschakeld. Op computers die lid zijn van een domein, moet automatische inschrijving in Groepsbeleid worden ingeschakeld. Zie het onderwerp over het beheren van de certificaatinschrijving (https://go.microsoft.com/fwlink/?LinkId=143282) voor de procedures voor het configureren van automatische inschrijving (pagina is mogelijk Engelstalig).

Sterke verificatie tijdens inschrijving verplicht

Hiermee geeft u op dat inschrijvingsclients tijdens de inschrijving door het certificeringspad van de uitgevende certificeringsinstantie moeten worden gevalideerd.


Aanvullende naslaginformatie

Inhoudsopgave