组策略实现自动注册CA证书

最近实施sharepoint 2010，sharepoint提供了一个功能强大的企业信息平台，现在日常工作中的相关审批要做工作流，必须用到证书签名。由于Web申请证书的操作对于普通员工还是比较复杂，而且如果由IT管理员去帮助申请工作量就大了，所以实现自动注册CA证书是一个很好的办法，同样其他应用（如邮件等）需证书申请安装时也可以用该方法。下面就详细简绍下实现过程：

     1、搭建CA证书服务器这里就不多说了。我这里做的是企业根CA。

     2、在“运行”中敲入MMC，添加“证书模板”和“证书颁发机构 ”。

     3、在控制台“证书模板”中，找到“用户”模板点击右键“复制模板”。如图，会有选择win2003和win2008模式，此处我们选择最低支持模板为win2003。之所以选择复制出一个新模板，而不是直接在用户模板上进行操作，是因为不希望影响其他应用程序对用户模板的使用 。

   

     4、在复制出的新模板的常规标签处，并为此模板命名为“用户自动注册模板”，注意，模板名称一旦确定就无法更改。同时确保勾选“在Active Directory中颁发证书”，至于是否删除重复证书根据实际需要。

     
     5、切换到证书模板的“处理请求”标签，选择“注册证书使用者时无需用户输入”。

    

     6、切换到证书模板的“安全”标签，在此可以分配证书模板的权限，如果用户可以利用这个证书模板进行证书的自动注册，一定要为这些用户赋予“读取”，“注册”和“自动注册”的权限，这里我们做Domain Users的设置。

   

    7、然后点击“证书颁发机构”，右键点击证书模板，选择新建“要颁发的证书模板”。

   

    8、选择新创建的“用户自动注册模板”， 点击“确定”。现在证书服务器已经使用了支持用户自动注册的证书模板，证书服务器已经可以支持用户自动进行证书的注册申请了。

    9、要实现域用户自动注册证书，还需配置组策略。如图，我新建了一条“自动注册CA证书”的策略，并链接到了相关部门。其中“自动注册CA证书”策略设置：用户配置－Windows设置－安全设置－公钥策略，编辑右侧面板中的“自动注册设置”。确保选择“自动注册证书”，根据需求也可选择“续订过期证书，更新未决证书并删除吊销的证书”和“更新使用证书模板的证书”。这样用户不但可以完成证书的自动注册申请，还可以完成证书的自动更新，续订以及吊销。

    

     10、执行gpupdate /force刷新策略，用户自动注册证书成功。

     

本文出自 “华姿枫语” 博客，谢绝转载！