本主题介绍了用于配置证书注册策略设置的过程和应用程序。

使用组策略配置证书注册策略设置

Domain Admins 是完成此过程所需的最低组成员身份。

在组策略中配置证书注册策略设置的步骤

  1. 单击「开始」,在“搜索程序和文件”框中键入 gpmc.msc,然后按 Enter。

  2. 在控制台树中,展开包含要编辑的策略的林和域,然后单击“组策略对象”

  3. 右键单击要编辑的策略,然后单击“编辑”

  4. 在控制台树的“计算机配置\策略\Windows 设置\安全设置”下,单击“公钥策略”

  5. 双击“证书服务客户端 - 证书注册策略”。有关该对话框中的设置的详细信息,请参阅本主题后面的“‘证书服务客户端 - 证书注册策略属性’对话框”表。

  6. 单击“添加”以打开“证书注册策略服务器”对话框。有关该对话框中的设置的详细信息,请参阅本主题后面的“‘证书注册策略服务器’对话框”表。

  7. 执行以下操作之一:

    • 若要添加 Active Directory 域服务 (AD DS) 提供的注册策略,请选中“使用默认的 Active Directory 域控制器 URI”复选框。

    • “输入注册策略服务器 URI”框中,键入证书注册策略服务器 URI。

  8. “身份验证类型”列表中,选择注册策略服务器所需的身份验证类型。

  9. 单击“验证”并查看“证书注册策略服务器属性”区域中的消息。仅当注册策略服务器 URI 和身份验证类型有效时,“添加”按钮才可用。

  10. 单击“添加”
注意

如果添加的注册策略服务器支持已在“证书注册策略列表”中显示的注册策略,则将不单独显示所添加的服务器。单击“属性”可验证所添加的注册策略服务器是否显示在“注册策略服务器”列表中。有关该对话框中的设置的详细信息,请参阅本主题后面的“‘证书注册策略服务器属性’对话框”表。

用户界面参考

下表描述了“证书服务客户端 – 证书注册策略属性”对话框、“证书注册策略服务器”对话框和“证书注册策略服务器属性”对话框中的可用设置。

“证书服务客户端 - 证书注册策略属性”对话框

设置描述

配置型号

指定是否在组策略中启用策略设置。

证书注册策略列表

显示策略设置中包括的注册策略的列表。必须通过选中“默认”复选框指定所显示的策略之一作为默认策略。

添加

打开“证书注册策略服务器”对话框,该对话框用于添加注册策略服务器。

删除

从列表中删除所选的注册策略及其所有关联注册策略服务器。

属性

打开“证书注册策略服务器属性”对话框,该对话框显示策略详细信息及所选注册策略的注册策略服务器的列表。

禁用用户配置的注册策略

禁用用户和应用程序配置的注册策略。仅使用在组策略中配置的注册策略。


“证书注册策略服务器”对话框

设置描述

使用默认的 Active Directory 域控制器 URI

指定默认注册策略服务器 LDAP URI 和“Windows 集成”身份验证类型。

配置友好名称

该按钮只有在选择“使用默认的 Active Directory 域控制器 URI”时才可用。

用于配置显示的注册策略的名称,而不是默认策略名称或注册策略标识符。在证书注册向导和其他应用程序中用户会看到指定的名称。

注意

如果有多个注册策略服务器支持同一注册策略,则每个服务器均应配置为使用相同的注册策略友好名称。在注册策略 Web 服务中,友好名称值是一个通过使用服务器管理器配置的应用程序设置。如果已在每个注册策略 Web 服务中配置友好名称设置,则先添加注册策略 Web 服务 URI,然后再添加域控制器 LDAP URI。这将确保友好名称值相同。

输入注册策略服务器 URI

指定证书注册策略 Web 服务的 URI。URI 必须使用 HTTPS。

身份验证类型

指定用于连接到指定的 URI 的身份验证的类型。指定的身份验证类型必须与证书注册策略 Web 服务所需的身份验证类型匹配。

以下是可用的身份验证类型:

  • 匿名。连接到证书注册策略服务器时不提供任何凭据。

  • Windows 集成。Windows 集成身份验证使用 Kerberos 协议且适合于 AD DS 域成员。

  • 用户名/密码。在证书注册过程中,将提示用户输入用户名和密码。

  • X.509 证书。在证书注册过程中,将提示用户选择证书以进行身份验证。

验证

通过使用指定的身份验证类型连接到指定的 URI 以验证以下详细信息:

  • 存在到注册策略服务器的 SSL 连接。

  • 注册策略服务器会返回有效的注册策略。

  • 该注册策略尚未包括在组策略设置中。

在可以添加注册策略服务器 URI 之前,需要对其进行验证。如果指定的 URI 和身份验证类型有效,则将显示注册策略标识符和友好名称。如果验证出现问题,则将显示警告或错误消息。

添加

将注册策略服务器 URI 和经过验证的注册策略添加到组策略设置。只有在验证注册策略服务器 URI 和身份验证类型后才能使用“添加”按钮。


“证书注册策略服务器属性”对话框

设置描述

注册策略服务器列表

显示支持注册策略的注册策略服务器的列表。

删除

删除所选的注册策略服务器。如果所有注册策略服务器被删除,则注册策略也将被删除。

启用自动注册和续订

指定启用自动注册时注册策略用于自动注册。

在不是域成员的运行 Windows 7 的计算机上,默认情况下启用自动注册。在是域成员的计算机上,必须在组策略中启用自动注册。有关自动注册配置过程,请参阅“管理证书注册”(https://go.microsoft.com/fwlink/?LinkId=143282)(可能为英文网页)。

在注册期间需要强验证

指定在注册期间注册客户端需要验证颁发 CA 的证书路径。


其他参考

目录