实验目的:配置受限注册代理

实验环境:LON-DC1 Windows2012R2 AD+ADCS 172.16.0.10

          LON-CL1 Windows8      Client  172.16.0.100

实验步骤:

登入LON-DC1,从服务器管理器中打开证书颁发机构

Windows AD证书服务系列---证书发布与吊销(2)_第1张图片

右键点击证书模板,选择管理

Windows AD证书服务系列---证书发布与吊销(2)_第2张图片

在模板列表中找到注册代理模板,双击打开它的属性,并打开安全选项卡,点击添加,将User1加入并赋予读取和注册权限

Windows AD证书服务系列---证书发布与吊销(2)_第3张图片

完成上面操作后,回到证书颁发机构,右键点击证书模板,选择新建->要颁发的证书模板

Windows AD证书服务系列---证书发布与吊销(2)_第4张图片

选择注册代理模板,让它添加到证书模板容器中

Windows AD证书服务系列---证书发布与吊销(2)_第5张图片

接下来我们使用user1登入LON-CL1计算机,并执行mmc.exe命令,打开控制台,然后添加证书管理单元

Windows AD证书服务系列---证书发布与吊销(2)_第6张图片

在证书管理单元中,右键选中个人容器,然后选择所有任务->申请新证书

Windows AD证书服务系列---证书发布与吊销(2)_第7张图片

在向导中默认下一步执行,直到请求证书页面,然后选择注册代理,点击注册,完成配置向导

Windows AD证书服务系列---证书发布与吊销(2)_第8张图片

注册的时候可能会碰到吊销服务器脱机的错误,这个问题可能是企业从属CA上没有从独立根CA上复制CRLs和根证书,我们可以通过命令手动的将它加入到企业从属CA上,certutil -addstore root adatumrootca.crl  和 certutil -addstore root lon-svr1_adatumrootca.crt,完成注册代理证书的注册,我们可以看到个人容器里面多了一个证书

Windows AD证书服务系列---证书发布与吊销(2)_第9张图片

在客户端申请完证书后,切换到LON-DC1,打开AdatumRootCA的属性,选择注册代理选项卡

Windows AD证书服务系列---证书发布与吊销(2)_第10张图片

我们配置User1只能为域内的用户(domain users群组的用户)注册用户模板证书,这里我们选择受限设置,并参照下图的配置

Windows AD证书服务系列---证书发布与吊销(2)_第11张图片

注册代理配置的实验到此完成。