這個主題描述用來設定憑證註冊原則設定的程序及應用程式。

使用群組原則設定憑證註冊原則設定

若要完成此程序,至少需要 Domain Admins 群組成員資格。

在群組原則中設定憑證註冊原則設定

  1. 按一下 [開始],在 [搜尋程式及檔案] 方塊中輸入 gpmc.msc,然後按下 ENTER。

  2. 在主控台樹狀目錄中,展開包含您想要編輯原則的樹系和網域,然後按一下 [群組原則物件]

  3. 在您要編輯的原則上按一下滑鼠右鍵,然後按一下 [編輯]

  4. [電腦設定\原則\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]

  5. 按兩下 [憑證服務用戶端 - 憑證註冊原則]。如需在這個對話方塊中的設定相關資訊,請參閱這個主題稍後的「憑證服務用戶端 - 憑證註冊原則內容對話方塊」表格。

  6. 按一下 [新增] 以開啟 [憑證註冊原則伺服器] 對話方塊。如需在這個對話方塊中的設定相關資訊,請參閱這個主題稍後的「憑證註冊原則伺服器對話方塊」表格。

  7. 執行下列其中一項:

    • 若要新增由 Active Directory 網域服務 (AD DS) 提供的註冊原則,請選取 [使用預設的 Active Directory 網域控制站 URI] 核取方塊。

    • [輸入註冊原則伺服器 URI] 方塊中,輸入憑證註冊原則伺服器 URI。

  8. [驗證類型] 清單中,選取註冊原則伺服器所需的驗證類型。

  9. 按一下 [驗證],然後檢視 [憑證註冊原則伺服器內容] 區域中的訊息。[新增] 按鈕只有在註冊原則伺服器 URI 及驗證類型已驗證後才可使用。

  10. 按一下 [新增]
附註

如果新增的註冊原則伺服器支援在 [憑證註冊原則清單] 中顯示的註冊原則,則將不會個別顯示新增的伺服器。按一下 [內容] 確認新增的註冊原則伺服器已顯示在 [註冊原則伺服器] 清單中。如需在這個對話方塊中的設定相關資訊,請參閱這個主題稍後的「憑證註冊原則伺服器內容對話方塊」表格。

使用者介面參考

下表將描述在 [憑證服務用戶端 - 憑證註冊原則內容] 對話方塊、[憑證註冊原則伺服器] 對話方塊以及 [憑證註冊原則伺服器內容] 對話方塊中可用的設定。

憑證服務用戶端 - 憑證註冊原則內容對話方塊

設定描述

設定模型

指定在群組原則中是否啟用原則設定。

憑證註冊原則清單

顯示原則設定中包含的註冊原則清單。其中一個顯示的原則必須選取 [預設] 核取方塊,以指定為預設的原則。

新增

開啟用來新增註冊原則伺服器的 [憑證註冊原則伺服器] 對話方塊。

移除

從清單中移除選取的註冊原則及所有相關註冊原則伺服器。

內容

開啟 [憑證註冊原則伺服器內容] 對話方塊,其中會顯示原則詳細資訊,以及所選取註冊原則之註冊原則伺服器清單。

停用使用者的設定註冊原則

停用使用者及應用程式設定的註冊原則。只會使用在群組原則中設定的註冊原則。


憑證註冊原則伺服器對話方塊

設定描述

使用預設的 Active Directory 網域控制站 URI

指定預設註冊原則伺服器 LDAP URI 及 [Windows 整合式] 驗證類型。

設定好記的名稱

這個按鈕只在選取 [使用預設的 Active Directory 網域控制站 URI] 時才可使用。

用於設定顯示的註冊原則名稱,而不是預設的原則名稱或註冊原則識別碼。使用者會在憑證註冊精靈及其他應用程式中看到指定的名稱。

附註

如果超過一個以上的註冊原則伺服器支援相同的註冊原則,則每個伺服器都應該設定使用相同的註冊原則好記名稱。在註冊原則網頁服務中,好記名稱的值使用的是伺服器管理員設定的應用程式設定。如果好記名稱設定已經在每個註冊原則 Web 服務中設定,請在新增網域控制站 LDAP URI 之前,先新增註冊原則網頁服務 URI。這可以確保好記名稱的值是相同的。

輸入註冊原則伺服器 URI

指定憑證註冊原則 Web 服務的 URI。URI 必須使用 HTTPS。

驗證類型

指定用來連線指定 URI 的驗證類型。指定的驗證類型必須符合憑證註冊原則 Web 服務所需的驗證類型。

可以使用下列驗證類型:

  • [匿名]。連線到憑證註冊原則伺服器時,不提供憑證。

  • [Windows 整合式]。Windows 整合式驗證使用 Kerberos 的通訊協定而且適用於 AD DS 網域成員。

  • [使用者名稱/密碼]。在憑證註冊期間,將提示使用者輸入使用者名稱和密碼。

  • [X.509 憑證]。在憑證註冊期間,將提示使用者選取驗證的憑證。

驗證

使用指定驗證類型連線指定的 URI,以確認下列詳細資料:

  • 與註冊原則伺服器的 SSL 連線已存在。

  • 註冊原則伺服器會傳回有效的註冊原則。

  • 註冊原則並未包含在群組原則設定中。

新增註冊原則之前,必須先驗證註冊原則伺服器 URI 。如果指定的 URI 及驗證類型是有效的,則會顯示註冊原則識別碼及好記名稱。如果驗證發生問題,則會顯示警告或錯誤訊息。

新增

新增註冊原則伺服器 URI 及已驗證的註冊原則到群組原則設定中。[新增] 按鈕只有在註冊原則伺服器 URI 及驗證類型已驗證後才可使用。


憑證註冊原則伺服器內容對話方塊

設定描述

註冊原則伺服器清單

顯示支援註冊原則的註冊原則伺服器清單。

移除

移除選取的註冊原則伺服器。如果移除所有的註冊原則伺服器,註冊原則也將會被移除。

啟用自動註冊與更新

指定於自動註冊啟用時使用註冊原則來自動註冊。

在執行 Windows 7 的非網域成員電腦中,預設會啟用自動註冊。在網域成員的電腦上,必須在群組原則中啟用自動註冊。請參閱<管理憑證註冊>(https://go.microsoft.com/fwlink/?LinkId=143282 (可能為英文網頁)),取得自動註冊設定程序。

註冊期間要求強式驗證

在註冊期間指定註冊用戶端需要驗證簽發 CA 憑證的路徑。


其他參考資料

目錄