安装证书模板
该步骤将向您演示如何安装和查看默认证书模板。若要了解每个默认证书模板的说明,请在 TechNet 网站上参考
Implementing and Administering Certificate Templates in Windows Server 2003 的“Default Templates”(英文)主题,其位置是
http://go.microsoft.com/fwlink/?LinkId=22669。
要求
• | 凭据:必须以 Enterprise Admins 组和根域的 Domain Admins 组的成员帐户登录。 |
• | 工具:证书模板 (certtmpl.msc) |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
• | 安装和查看默认证书模板。1. | 单击“开始”,再单击“运行”,然后在“运行”对话框中输入 certtmpl.msc,然后单击“确定”。 | 2. | 如果是第一次在 CA 上运行证书模板管理单元,将会收到需要安装证书模板的提示消息,每一个消息都单击“是”。 | 3. | 在控制台树上单击“证书模板”。所有证书模板都将显示在详细信息窗格内。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_04.jpg)
| 4. | 关闭“证书模板”。 |
|
创建自定义证书模板
证书模板允许对证书服务所颁发的证书(包括证书的颁发方式和所含内容)进行自定义。证书模板是对传入的证书请求所应用的一组规则和设置。可通过复制现有模板或使用现有模板属性作为新模板的默认属性,来创建新的证书模板。通过复制与所需要的新模板最接近的现有证书模板,可以大幅减少工作量。
要求
• | 凭据:必须以 Enterprise Admins 组的成员帐户登录。 |
• | 工具:证书模板 (certtmpl.msc) |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
• | 利用现有模板创建自定义模板1. | 单击“开始”,再单击“运行”,然后在“运行”对话框中输入 certtmpl.msc ,然后单击“确定”,打开“证书模板”。 | 2. | 在详细信息窗格上,右键单击要复制的模板,然后单击“复制模板” | 3. | 为证书输入一个新名称。 | 4. | 进行所要的改动然后单击“确定”。新模板将在底部列表中出现并在“自动注册”栏显示“已允许”。 | 5. | 关闭“证书模板”。 |
|
为客户端自动注册配置证书模板
在 Windows XP 和 Windows Server 2003, Enterprise Edition 中,自动注册是一个非常有用的证书服务功能。有了自动注册,就可以将客户端配置为在无需客户端参与的情况下自动注册证书、检索颁发的证书和更新到期证书。客户端不需要了解证书的任何操作,除非您将证书模板配置为需要与客户端交互。本节讲述了修改证书模板的一种方法:客户端自动注册。若要了解有关自动注册的更多信息,请在 TechNet 网站上参考
Certificate Autoenrollment in Windows Server 2003(英文),其位置是
http://go.microsoft.com/fwlink/?LinkId=22668。要正确配置客户端自动注册功能,需对证书模板或要采用的模板进行适当的计划。证书模板中的几个设置会直接影响客户端注册的行为。
要求
• | 凭据:必须以 Enterprise Admins 组的成员帐户登录。 |
• | 工具:证书模板 (certtmpl.msc) |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
• | 为客户端自动注册配置证书模板1. | 单击“开始”,再单击“运行”,然后在“运行”对话框中输入 certtmpl.msc ,然后单击“确定”。 | 2. | 在“证书模板”的详细信息窗格中,右键单击刚创建好要进行自动注册功能配置的证书模板,然后单击“属性”。 | 3. | 在“安全”选项卡要进行自动注册功能配置的“组或用户名称”列表中单击用户,计算机或组。 如果用户,计算机或组的名称不在“安全”选项卡中,单击“添加”。在“选择用户、计算机或组”对话框中输入要添加的名字,然后单击“确定”。 | 4. | 在“ObjectName 权限”列表中,在“允许”列下方,选中“读取”、“注册”和“自动注册”复选框,然后单击“应用”。对每个要配置自动注册功能的用户、计算机或组,重复步骤 3 和 4,然后单击“确定”。 | 5. | 关闭“证书模板”。 |
|
为默认证书模板授予注册权
此步骤将配置在“为客户端自动注册配置证书模板”步骤中已被自动注册的客户端要使用的默认模板。
要求
• | 凭据:必须以 Enterprise Admins 组的成员帐户登录。 |
• | 工具:证书模板 (certtmpl.msc) |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
• | 允许客户端请求基于模板的证书1. | 单击“开始”,再单击“运行”,然后在“运行”对话框中输入 certtmpl.msc ,然后单击“确定”。 | 2. | 在“证书模板”的详细信息窗格中,右键单击刚创建好要更改的证书模板,然后单击“属性”。 | 3. | 在“安全”选项卡添加所要的组、计算机或用户。 | 4. | 在“组或用户名”中,单击其中某个新对象,然后在“ObjectName 权限”列表 中,在“允许”列下方,选中“读取”、“注册”和“自动注册”复选框。 | 5. | 对每个新对象都重复上面的步骤。 |
|
注意:若要禁止主题请求基于模板的证书,请采用此过程中同样的步骤清除“读取”和“注册”复选框。
配置 CA 以颁发基于证书模板的证书
此步骤向 CA 添加将由该 CA 颁发的新证书模板。
要求
• | 凭据:必须在运行证书服务的计算机上以本地管理员组的成员帐户登录。 |
• | 工具:CA 管理单元。 |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
• | 向 CA 添加证书模板1. | 单击“开始”,再单击“控制面版”,然后单击“管理工具”,然后再单击“证书颁发机构”。 | 2. | 扩展企业根 CA。 | 3. | 右键单击“证书模板”容器,单击“新建”,然后单击“要颁发的证书模板”。 | 4. | 在“启用证书模板”对话框中,选中要在该 CA 上启用的证书模板,然后单击“确定”。已启用的证书模板将在证书模板容器中出现。 | 5. | 关闭 CA。 |
|
从 CA 删除证书模板
在定义和配置完计划采用的证书模板之后,最佳做法是将不用的证书模板全部从 CA 上删除。删除证书模板只是断开与 CA 的连接,而不是将它从证书模板存储中物理删除。如果将来需要将证书模板删除,可重复“安装证书模板”中的步骤以执行该任务。
要求
• | 凭据:必须以 Enterprise Admins 组的成员帐户登录。 |
• | 工具: CA 管理单元。 |
• | 此任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
• | 从 CA 删除证书模板1. | 单击“开始”,再单击“控制面版”,然后单击“管理工具”,然后再单击“证书证书颁发机构”。 | 2. | 展开企业根 CA。 | 3. | 右键单击“证书模板”容器。 | 4. | 在详细信息窗格中,右键单击要从 CA 中清除的证书模板,然后单击“删除”。 | 5. | 在“禁用证书模板”对话框中单击“是”。 证书模板不再出现在详细信息窗格中。 |
|
![](http://blog.51cto.com/library/gallery/templates/MNP2.GenericArticle/../MNP2.Common/images/arrow_px_up.gif)
返回页首证书服务实现示例:为无线用户建立自动注册功能
要将服务器配置为提供用户和计算机证书的自动注册功能,请执行以下操作:
• | 为无线用户创建证书模板。 |
• | 为客户端自动注册配置证书模板。 |
• | 配置 CA 以颁发基于证书模板的证书。 |
要求
• | 凭据:必须以 Enterprise Admins 组的成员帐户登录。 |
• | 工具:证书模板 (certtmpl.msc) 管理单元和 CA 管理单元。 |
• | 此示例中的任务只能在运行 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 的服务器上完成。 |
为无线用户创建证书模板
• | 为无线用户创建证书模板1. | 单击“开始”,再单击“运行”,然后在“运行”对话框中输入 certtmpl.msc ,然后单击“确定”。 | 2. | 在“证书模板”的详细信息窗格中,单击“用户”模板。 | 3. | 在“操作”菜单中,单击“复制模板”。 | 4. | 在“新模板属性”页面的“常规”选项卡上,在“模板显示名”框中,输入“无线用户证书模板”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_05.jpg)
| 5. | 单击“应用”继续下一步操作。 |
|
为客户端自动注册配置证书模板
• | 为客户端自动注册配置证书模板1. | 在“无线用户证书模板属性”页面的“常规”选项卡上,确保“在 Active Directory 中发布证书”复选框被选中。 | 2. | 单击“安全”选项卡。 | 3. | 在“组或用户名”列表上单击“域用户”。 | 4. | 在“域用户权限”列表的“允许”列下方,选中“读取”、“注册”和“自动注册”复选框。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_06.jpg)
| 5. | 单击“主题名称”选项卡,清除“在接受方名称中所含电子邮件名”和“电子邮件名称”,然后单击“确定”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_07.jpg) 要点: 在此示例中,出于实验目的,没有在 Active Directory 用户和计算机管理单元中为 WirelessUser 帐户输入电子邮件名称,所以这两个选项都被禁用。为了自动注册要分发给客户端的用户证书,您需要输入 WirelessUser 帐户的电子邮件地址,或者不选中这两个电子邮件框。 | 6. | 单击“确定”,然后关闭“证书模板”。 |
|
配置 CA 以颁发基于证书模板的证书
• | 配置 CA 以颁发基于证书模板的证书1. | 单击“开始”,指向“所有程序”再指向“管理工具”,然后单击“证书颁发机构”。 | 2. | 在控制台树上展开企业根 CA,然后单击“证书模板”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_08.jpg)
| 3. | 在“操作”菜单上,指向“新建”,然后单击“要颁发的证书”。 | 4. | 如果需要,请向下滚动,然后选中“无线用户证书模板”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_09.jpg)
| 5. | 单击“确定”。 | 6. | 单击“开始”,指向“所有程序”,再指向“管理工具”,然后单击“Active Directory 用户和计算机”。 | 7. | 如果需要,请在控制台树上双击“Active Directory 用户和计算机”,然后右键单击 Contoso.com 域,然后单击“属性”。 | 8. | 在“组策略”选项卡上,单击“默认域策略”,然后单击“编辑”,这将打开组策略对象编辑器管理单元。 | 9. | 在控制台树上展开“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”,然后单击“证书自动请求设置”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_10.jpg)
| 10. | 右键单击“证书自动请求设置”,指向“新建”,然后单击“自动证书请求”。 | 11. | 在“欢迎使用证书自动请求安装向导”页面上,单击“下一步”。 | 12. | 在“证书模板”页面上,单击“计算机”,然后单击“下一步”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_11.jpg)
| 13. | 在“证书自动请求安装向导完成”页面上,单击“完成”。然后“计算机”证书类型会在组策略对象编辑器管理单元的详细信息窗格中显示。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_12.jpg)
| 14. | 如果需要,请在控制台树中向下滚动,然后展开“用户配置”、“Windows 设置”、“安全设置”和“公钥策略”。单击“公钥策略”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_13.jpg)
| 15. | 在详细信息窗格中,双击“自动注册设置”。 | 16. | 单击“自动注册证书”,选中“续订到期证书,更新未决证书和删除吊销的证书”复选框,然后选中“更新使用证书模板的证书”复选框,然后单击“确定”。
![](http://img.microsoft.com/china/technet/images/security/sgk/images/build_ent_root_ca_14.jpg)
| 17. | 关闭组策略对象编辑器和 Active Directory 用户和计算机。 |
|
当已升级的默认域组策略对象有效的时候,客户端必须重启计算机,然后通过一个允许使用新组策略设置的有线连接和一个要颁发的证书登录。需通过客户端计算机的证书管理单元来对证书进行验证,以查看用户和计算机的个人证书存储。