Windows Server 2003中的证书自动注册

Microsoft ® Windows® Server 2003 Enterprise Edition 中引入了为用户和计算机自动注册证书(包括基于智能卡的证书)的功能。
使用自动注册功能,单位能够对用户证书的生命周期进行管理,包括:
  • 证书续订
  • 证书的取代
  • 多个签名要求
证书自动注册基于组策略设置和版本 2 证书模板的组合。这种组合使 Windows XP Professional 或 Windows Server 2003 客户端可以在用户登录到他们的域时注册用户,或在计算机启动时注册该计算机,并使用户和计算机在这些事件之间定期更新。
自动注册用户证书提供了一种快捷简单的方式,用以向用户颁发证书和在 Active Directory ® 目录服务环境中启用公钥基础结构 (PKI) 应用程序,诸如智能卡登录、加密文件系统 (EFS)、安全套接字层 (SSL)、安全/多用途 Internet 邮件扩展 (S/MIME) 等等。当 Windows XP Professional 客户端被配置为使用 Active Directory 时,用户自动注册可将标准 PKI 部署的高昂成本降到最低,并减少 PKI 实现的总拥有成本 (TCO)。
 
 
重要说明     计算机证书不支持用户交互,不要将它配置为要求此设置。
  • 提示框 UI 等待用户看到提示框,并通过鼠标单击被激活。注意大约 15 秒后,系统任务栏中的提示框弹出式窗口将被证书图标(可通过鼠标单击激活)取代。
  • 如果在 7 小时内没有发生激活,任务栏图标将消失,并且在下次登录时、计算机重新启动时或者按照组策略刷新间隔(以先发生的为准),静止线程将重新激活。
  • 用户激活了此 UI 后,系统先检查 REQUEST 存储中是否有挂起的请求。
  •  
      网络结构
      Server
      WS03R2
      x2
      WS2K
      X1
      Client
      WinXP SP2
      x1
     
    要点
    必须先在 Active Directory 中创建版本 2 证书模板后才能启用自动注册。
     
     
    Image001
      Start Windows Server 2003
     
     
     
     
     
     
    屏幕剪辑的捕获时间: 2007-1-21, 14:24
     
     
    屏幕剪辑的捕获时间: 2007-1-21, 14:10
     
     
     
    证书模板权限
    用户或计算机要想注册证书模板,必须在 Active Directory 中的模板上设置适当的权限 (ACE)。用户或计算机必须同时具有“注册”和“读取”权限才能注册选定的证书模板。
    • “读取”权限,此权限允许用户发现模板。
    • “注册”权限,当用户申请选定模板的证书时,企业 CA 强制执行此权限。企业 CA 还必须具有模板的“读取”权限,才能在目录中枚举该模板和颁发基于该模板的证书。企业 CA 通常包含在“经过身份验证的用户”组中,默认情况下该组具有模板的“读取”权限。
    • “完全控制”权限,默认情况下,在安装全新的 Windows Server 2003 域时赋予企业管理员和主域管理员组此权限。如果域已从 Windows 2000 升级,则默认情况下,企业管理员不具有此权限。“完全控制”权限允许用户设置或修改选定模板的权限。
    • “自动注册”权限,当用户或计算机最好自动注册选定的证书模板时,将在模板上设置此权限。用户要想注册给定的证书模板,除了需要“注册”权限外,还需要“自动注册”权限。只有版本 2 模板或新创建的模板可以设置自动注册 ACE。
    • “写入”权限,此权限允许用户修改证书模板的内容。注意只能修改具有 Windows Server 2003 架构的版本 2 证书。版本 1 证书模板只允许修改 ACL。

    本文出自 “Joshua Tu's Blog” 博客,谢绝转载!

    你可能感兴趣的:(职场,休闲,ws03)