Windows Server 2003中的证书自动注册

Microsoft ® Windows® Server 2003 Enterprise Edition 中引入了为用户和计算机自动注册证书（包括基于智能卡的证书）的功能。

使用自动注册功能，单位能够对用户证书的生命周期进行管理，包括：

• 证书续订
• 证书的取代
• 多个签名要求

证书自动注册基于组策略设置和版本 2 证书模板的组合。这种组合使 Windows XP Professional 或 Windows Server 2003 客户端可以在用户登录到他们的域时注册用户，或在计算机启动时注册该计算机，并使用户和计算机在这些事件之间定期更新。

自动注册用户证书提供了一种快捷简单的方式，用以向用户颁发证书和在 Active Directory ® 目录服务环境中启用公钥基础结构 (PKI) 应用程序，诸如智能卡登录、加密文件系统 (EFS)、安全套接字层 (SSL)、安全/多用途 Internet 邮件扩展 (S/MIME) 等等。当 Windows XP Professional 客户端被配置为使用 Active Directory 时，用户自动注册可将标准 PKI 部署的高昂成本降到最低，并减少 PKI 实现的总拥有成本 (TCO)。

 

重要说明     计算机证书不支持用户交互，不要将它配置为要求此设置。 提示框 UI 等待用户看到提示框，并通过鼠标单击被激活。注意大约 15 秒后，系统任务栏中的提示框弹出式窗口将被证书图标（可通过鼠标单击激活）取代。 如果在 7 小时内没有发生激活，任务栏图标将消失，并且在下次登录时、计算机重新启动时或者按照组策略刷新间隔（以先发生的为准），静止线程将重新激活。 用户激活了此 UI 后，系统先检查 REQUEST 存储中是否有挂起的请求。

 

网络结构
Server

WS03R2	x2
WS2K	X1

Client

WinXP SP2

x1

 

要点

必须先在 Active Directory 中创建版本 2 证书模板后才能启用自动注册。

 

 

Image001

  Start Windows Server 2003

 

 

 

 

 

 

屏幕剪辑的捕获时间: 2007-1-21, 14:24

 

 

屏幕剪辑的捕获时间: 2007-1-21, 14:10

 

 

 

证书模板权限

用户或计算机要想注册证书模板，必须在 Active Directory 中的模板上设置适当的权限 (ACE)。用户或计算机必须同时具有“注册”和“读取”权限才能注册选定的证书模板。

• “读取”权限，此权限允许用户发现模板。
• “注册”权限，当用户申请选定模板的证书时，企业 CA 强制执行此权限。企业 CA 还必须具有模板的“读取”权限，才能在目录中枚举该模板和颁发基于该模板的证书。企业 CA 通常包含在“经过身份验证的用户”组中，默认情况下该组具有模板的“读取”权限。
• “完全控制”权限，默认情况下，在安装全新的 Windows Server 2003 域时赋予企业管理员和主域管理员组此权限。如果域已从 Windows 2000 升级，则默认情况下，企业管理员不具有此权限。“完全控制”权限允许用户设置或修改选定模板的权限。
• “自动注册”权限，当用户或计算机最好自动注册选定的证书模板时，将在模板上设置此权限。用户要想注册给定的证书模板，除了需要“注册”权限外，还需要“自动注册”权限。只有版本 2 模板或新创建的模板可以设置自动注册 ACE。
• “写入”权限，此权限允许用户修改证书模板的内容。注意只能修改具有 Windows Server 2003 架构的版本 2 证书。版本 1 证书模板只允许修改 ACL。

本文出自 “Joshua Tu's Blog” 博客，谢绝转载！