Windows AD证书服务系列---证书发布与吊销(2)

实验目的：配置受限注册代理

实验环境：LON-DC1 Windows2012R2 AD+ADCS 172.16.0.10

          LON-CL1 Windows8      Client  172.16.0.100

实验步骤：

登入LON-DC1，从服务器管理器中打开证书颁发机构

右键点击证书模板，选择管理

在模板列表中找到注册代理模板，双击打开它的属性，并打开安全选项卡，点击添加，将User1加入并赋予读取和注册权限

完成上面操作后，回到证书颁发机构，右键点击证书模板，选择新建->要颁发的证书模板

选择注册代理模板，让它添加到证书模板容器中

接下来我们使用user1登入LON-CL1计算机，并执行mmc.exe命令，打开控制台，然后添加证书管理单元

在证书管理单元中，右键选中个人容器，然后选择所有任务->申请新证书

在向导中默认下一步执行，直到请求证书页面，然后选择注册代理，点击注册，完成配置向导

注册的时候可能会碰到吊销服务器脱机的错误，这个问题可能是企业从属CA上没有从独立根CA上复制CRLs和根证书，我们可以通过命令手动的将它加入到企业从属CA上，certutil -addstore root adatumrootca.crl  和 certutil -addstore root lon-svr1_adatumrootca.crt，完成注册代理证书的注册，我们可以看到个人容器里面多了一个证书

在客户端申请完证书后，切换到LON-DC1，打开AdatumRootCA的属性，选择注册代理选项卡

我们配置User1只能为域内的用户(domain users群组的用户)注册用户模板证书，这里我们选择受限设置，并参照下图的配置

注册代理配置的实验到此完成。