许多证书甚至可以在客户端不知道发生注册的情况下进行分发。这包括向计算机和服务颁发的大多数类型的证书,以及向用户颁发的许多证书。
若要在域环境中向客户端自动注册证书,您必须:
-
为证书模板配置自动注册权限。有关详细信息,请参阅“颁发基于证书模板的证书”(
https://go.microsoft.com/fwlink/?LinkId=142333 )(可能为英文网页)。
-
为域配置自动注册策略。
Domain Admins 或 Enterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理。
 | 为域配置自动注册组策略的步骤 |
在运行 Windows Server 2008 R2 或 Windows Server 2008 的域控制器上,单击「开始」,指向“管理工具”,然后单击“组策略管理”。
在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在组策略管理控制台 (GPMC) 中,依次转到“用户配置”、“Windows 设置”、“安全设置”,然后单击“公钥策略”。
双击“证书服务客户端 - 自动注册”。
选中“自动注册证书”复选框以启用自动注册。如果不想自动注册,则请选中“不要自动注册证书”复选框。
如果启用了证书自动注册,则可以选中以下复选框:
-
“续订过期证书、更新未决证书并删除吊销的证书”,用于自动注册证书续订、颁发未决证书申请、从用户证书存储中自动删除吊销的证书。
-
“更新使用证书模板的证书”,用于自动注册取代已颁发证书的证书颁发。
-
“续订过期证书、更新未决证书并删除吊销的证书”,用于自动注册证书续订、颁发未决证书申请、从用户证书存储中自动删除吊销的证书。
单击“确定”接受更改。