Автоматическая подача заявок на сертификаты в ОС Windows XP

Автоматическая подача заявок на сертификаты в ОС Windows XP

Обновлено: 17 февраля 2003 г.
Создатель: Девид Б. Кросс (David B. Cross) (EN) 
Переведено: 4 июня 2006 г.

Благодарности

Майкл Кесслер (Michael Kessler) (EN), технический редактор, компания Microsoft 

Инструкция

Операционная система Microsoft® Windows® XP заносит ряд улучшений в службы сертификации и инфраструктуру открытых ключей (PKI). Эти улучшения позволяют организациям автоматом предоставлять юзерам сертификаты на базе открытых ключей.

Эта статья рассчитана на ИТ-менеджеров и системных админов. Она позволяет ознакомиться с техническими особенностями автоматической подачи заявок на сертификаты, всесторонне разглядеть ее работу и получить основную информацию по устранению вероятных заморочек в работе.

На этой страничке

  Введение
  Работа автоматической подачи заявок
  Настройка шаблонов сертификатов
  Настройка центра сертификации предприятия
  Настройка групповой политики
  Автоматическая подача заявок юзером
  Обновление сертификатов
  Функции автоматической подачи заявок
  Обновление групповой политики
  Дополнительные способности
  Поддерживаемое оборудование
  Устранение заморочек в работе
  Заключение
  Связанные ресурсы

Введение

Операционная система Windows® XP предоставляет юзерам и компьютерам возможность делать автоматическую подачу заявок на сертификаты, включая сертификаты для смарт-карт.

Внедрение функции автоматической подачи заявок позволяет организациям управлять актуальным циклом сертификатов юзеров. Этот процесс содержит в себе:

Обновление сертификатов
Замещение сертификатов
Требование нескольких подписей

Стремительно и просто

Автоматическая подача заявок на сертификаты базирована на сочетании установок групповой политики и шаблонов сертификатов версии 2. Это сочетание позволяет клиенту ОС Windows XP Professional  подавать заявки на сертификаты юзеров во время их входа в собственный домен, подавать заявку на сертификаты компьютера при его загрузке, также временами обновлять сертификаты в промежутке меж этими событиями.

Автоматическая подача заявок на сертификаты юзеров обеспечивает резвый и обычной метод выдачи сертификатов юзерам, также позволяет использовать способности инфраструктуры открытых ключей (PKI) (такие, как вход в систему при помощи смарт-карт, EFS, SSL, S/MIME  и иных) в среде службы каталогов Active Directory®. Внедрение автоматической подачи заявки для юзера позволяет минимизировать издержки на обыденное развертывание инфраструктуры открытых ключей (PKI), также уменьшить совокупную цена владения (TCO) внедрения инфраструктуры открытых ключей (PKI), когда клиенты ОС Windows XP Professional сконфигурированы для работы с Active Directory.

Поддержка отложенных запросов сертификатов и обновления сертификатов

Автоматическая подача заявки юзером в ОС Windows XP Professional поддерживает как отложенные запросы сертификатов, так и обновление сертификатов.

Запрос сертификата

Вы сможете запросить сертификат у центра сертификации (CA) ОС Windows Server 2003 вручную либо автоматом.  Этот запрос будет действителен до получения административного одобрения либо до окончания процесса проверки. После того, как запрос будет одобрен и сертификат выдан, процесс автоматической подачи заявки заканчивается, после этого происходит автоматическая установка Вашего сертификата.

Обновление сертификата

Процесс обновления сертификата юзера с истекшим сроком деяния также употребляет все способности механизма автоматической подачи заявок. Сертификаты автоматом обновляются от имени юзера, в согласовании с данными, имеющимися в шаблоне сертификата.

Зависимости

Система автоматической подачи заявки имеет несколько требований к имеющейся инфраструктуре. Нужно наличие:

Windows Server 2003 и обновлений групповой политики
Контроллера домена Windows 2000 либо Windows Server 2003
Клиента Windows XP
Windows Server 2003 Enterprise Edition, работающего в качестве центра сертификации (CA) предприятия

Примечание. Опции групповой политики для автоматической подачи заявки могут употребляться лишь на компьютере, работающем под управлением ОС Windows XP Professional либо Windows Server 2003.

Наверх странички

Работа автоматической подачи заявок

В данном разделе описывается работа автоматической подачи заявок. Рассматриваемые в данном разделе темы содержат в себе: автоматическую подачу заявки и вход в систему, анализ составляющих процесса автоматической подачи заявки и работу с интерфейсом центра сертификации.

Принципиальные моменты

Автоматическая подача заявки идеальнее всего работает в среде Windows Server 2003 Enterprise Edition с развернутой инфраструктурой Active Directory для клиентов Windows XP.

Только компы домена могут воспользоваться функцией автоматической подачи заявок на сертификаты. Хотя процесс автоматической подачи заявки не просит неотклонимой принадлежности компьютера к домену, процесс входа в систему не запустит программку userinit.exe, если юзер либо компьютер не являются членом домена.

Автоматическая подача заявок и вход в систему

Процесс автоматической подачи заявок запускается процессом входа в систему (Winlogon). Он разработан таким макаром, чтоб его можно было активировать и управлять им при помощи групповой политики домена. Как групповая политика компов, так и групповая политика юзеров могут активировать автоматическую подачу заявки для компов и юзеров. По дефлоту характеристики групповой политики используются при перезагрузке (для компов) либо во время входа в систему (для юзеров), и обновляются каждые восемь часов. Интервал обновления может быть задан при помощи групповой политики.

Для получения дополнительной инфы обратитесь к  разделу «Обновление групповой политики» данной статьи.

Примечание. При разблокировании рабочей станции процесс автоматической подачи заявки не запустится автоматом. Только на сто процентов интерактивный процесс входа в систему либо обновление групповой политики могут его запустить.

Процесс автоматической подачи заявок

Процесс автоматической подачи заявок управляет всеми качествами подачи заявок на сертификаты, обновления и хранения сертификатов, не считая тех случаев, когда деяния юзера очевидно определены в шаблоне сертификата в Active Directory. При запуске процесса автоматической подачи заявки процессом Winlogon либо групповой политикой по истечении интервала обновления, операционная система запрашивает службу каталогов Active Directory о загрузке соответственного хранилища сертификатов в локальное хранилище на клиентский компьютер (к примеру, контейнера NTAuth и шаблонов сертификата). Это производится прозрачно в асинхронном режиме.

Перечень нужных ресурсов

Процесс автоматической подачи заявки обработает перечень шаблонов и создаст перечень нужных ресурсов для всех шаблонов, имеющих для шаблона запись управления доступом ACE (ACE – access control entry) на автоматическую подачу заявки для данного компьютера либо юзера. Компьютер и/либо юзер также обязан иметь разрешение на чтение, обозначенное в записи ACE для шаблона, либо шаблон не будет перечислен вообщем. «Мое» («MY») хранилище юзеров либо компов также будет обработано для обнаружения отозванных сертификатов, сертификатов без закрытых ключей, сертификатов с неправильным сроком деяния и т.д., которые будут добавлены в перечень нужных ресурсов.

Может быть, что у юзера могут быть сертификаты в «Моем» хранилище, но не будет соответственных разрешений, включенных в перечень управления доступом (ACL) для шаблона в службе каталогов Active Directory. Такие сертификаты будут обработаны и добавлены в перечень, но подачу заявки вероятнее всего выполнить не получится из-за того, что разрешения, установленные для шаблона, не позволяют делать подачу заявки либо обновление.

Элементы перечня нужных ресурсов могут быть удалены в этом случае, если находится подходящий, действующий сертификат в «Моем» хранилище. Если шаблон сертификата будет помечен как требующий проверки Active Directory на наличие сертификата, то в службу каталогов Active Directory будет подан запрос на наличие дубликата сертификата, содержащегося в атрибуте userCertificate объекта юзера, и в случае фуррора требование будет удалено из перечня.

Примечание. Проверка Active Directory на наличие сертификата, связанного с объектом юзера либо компьютера, может воздействовать на производительность и может вызвать задержки в обработке процесса автоматической подачи заявки из-за требований сети и каталога к выполнению этой операции. Это вызвано тем, что в согласовании с атрибутом userCertificate действующие сертификаты будут загружены и испытаны. При всем этом без загрузки сертификата и обработки его локально нереально запросить каталог по протоколу LDAP, для получения обычного ответа, вправду ли данный тип сертификата существует.

Процесс автоматической подачи заявки также управляет хранилищем юзера «REQUEST». Этот содержит в себе перечисление всех отложенных запросов в хранилище и, если такое может быть, следующую установку ожидаемого сертификата, приобретенного от центра сертификации (CA). Архивирование либо удаление сертификата, основанное на правиле для шаблона сертификата, производится последующим образом:

Если уже существует запрос в хранилище «REQUEST», то этот сертификат будет удален из общего перечня нужных ресурсов.
Если запрос находился в состоянии ожидания более чем 60 дней, то он будет удален, а перечень нужных ресурсов остается без конфигураций.

Автоматическая подача заявки может употребляться для восстановления отложенных запросов только для сертификатов, в каких находится информация о шаблоне (к примеру, информация о шаблоне может содержаться в исходном запросе). Для процесса автоматической подачи заявки не надо использовать соответственный перечень ACL, чтоб обработать отложенный запрос сертификата. Если юзер производит автоматическую подачу заявки при помощи интернет-страницы и запрос сертификата отложен, то автоматическая подача заявки сама обработает отложенный запрос для юзера.

Правила замещения шаблонов будут обработаны и в перечень нужных ресурсов будут внесены надлежащие дополнения и исключения. К примеру, если в шаблоне указывается, что «X замещает Y,» то это значит, что если Вам нужно было делать автоматическую подачу заявки для получения X и Y , то в реальности Вам нужно ее выполнить только для X. В случае если у Вас есть только Y, то Вам нужно также получить и X. Это последний шаг в обработке правил, после которого перечень нужных ресурсов считается завершенным.

Для всех шаблонов, не требующих взаимодействия с юзером, процесс автоматической подачи заявки будет создавать запросы в фоновом режиме и направлять их в центр сертификации (CA). После окончания этого процесса перечень нужных ресурсов обновляется.

При выдаче сертификата центром сертификации (CA) сертификат устанавливается в «Моем» хранилище юзера либо компьютера. Если сертификат находится в состоянии ожидания, что определяется наличием флага Одобрения диспетчера сертификатов ЦС (CA Manager approval) в оснастке Шаблон сертификатов (Certificate Template) консоли управления MMC, то информация о запросе сохраняется в хранилище REQUEST.

Всплывающие извещения интерфейса юзера

Для всех запросов, требующих взаимодействия с юзером согласно шаблону сертификата, вызываются всплывающие извещения интерфейса юзера.

Примерно в течение 60 секунд после входа в систему отображается всплывающие извещения интерфейса юзера. Если шаблоном сертификата никакое взаимодействие с юзером не определено, то всплывающие извещения интерфейса юзера отображены не будут. Такая задержка вводится для ускорения времени отклика приложений и оболочки во время входа в систему и загрузки компьютера.
Если же 60-ти секундная задержка нежелательна, то с согласия юзера можно добавить последующий ключ в реестр:

HKEY_CURRENT_USERSOFTWAREMicrosoftCryptographyAutoEnrollmentAEExpress

Не рекомендуется использовать данный ключ реестра при обыкновенной работе. Его внедрение может быть только с одобрения юзера.

Принципиально: Сертификаты компов не поддерживают взаимодействие с юзером, потому они не должны употребляться вместе с отложенными запросами.

Всплывающие извещения интерфейса юзера ждут, когда юзер направит на их внимание и активирует щелчком мыши. Учтите то, что примерно через 15 секунд всплывающее извещение будет заменена значком сертификата, который можно будет активировать при помощи мыши в области извещений на панели задач.
Если в течение 7 часов активация не будет выполнена, то всплывающее извещение интерфейса юзера пропадет и процесс будет повторен при последующем входе в систему, перезагрузке компьютера либо по истечении интервала обновления групповой политики, независимо от того, какое событие произойдет первым.
Как юзер активирует всплывающее извещение интерфейса юзера, будет выполнена проверка  хранилища «REQUEST» на наличие отложенных запросов.

Выдача шаблонов

Как шаблон сертификата c соответствующей записью ACE будет перечислен, процесс автоматической подачи заявки начнет поиск в Active Directory центра сертификации предприятия, который бы мог выдать шаблон. При обнаружении более 1-го центра сертификации предприятия, клиент начинает их инспектировать в случайном порядке (с целью равномерного рассредотачивания нагрузки) до того времени, пока не будет найден центр сертификации, готовый выдать сертификат.

Клиент связывается с центром сертификации при помощи интерфейса DCOM (DCOM – Distributed Component Object Model) и предоставляет контекст безопасности через DCOM для обеспечения запроса с проверкой подлинности. Модуль политики по дефлоту центра сертификации предприятия приводит профили сертификатов и безопасность подачи заявки в соответствие с тем, как это определено в шаблонах.

В случае если центр сертификации настроен так, чтоб откладывать запросы до того времени, пока админ или  диспетчер сертификатов не проверят и не одобрят их, автоматическая подача заявки будет временами запрашивать центр сертификации о наличии одобренных запросов во время каждого интервала обновления групповой политики. Автоматическая подача заявки также будет производить повторную подачу заявки на шаблон в этом случае, если установлен параметр Подать повторную заявку для всех хозяев сертификатов (Reenroll all certificate holders). Для получения дополнительной инфы обратитесь к разделу «Обновление сертификатов» этой статьи.

Интерфейсы центра сертификации

Если употребляется центр сертификации, разработанный посторонним производителем (не Microsoft), то для того, чтоб принять запрос автоматической подачи заявки от клиента Windows XP, он должен эмулировать интерфейс ICertRequest2 так, как это определено в документации Platform SDK (Platform Software Development Kit).

Процесс автоматической подачи заявки употребляет последующие способы для подачи заявки и связи с центром сертификации предприятия:

GetCAProperty
Submit
GetLastStatus
GetRequestId
GetFullResponseProperty
GetCertificate
Release
RetrievePending

Описание данных способов можно отыскать в документации Platform SDK (Platform Software Development Kit) (EN).

Наверх странички

Настройка шаблонов сертификатов

В данном разделе описывается настройка шаблонов сертификатов и приводится в качестве примера пошаговое управление по созданию нового шаблона для автоматической подачи заявки на сертификат смарт-карты. Не считая того, описываются разрешения для шаблона сертификата.

Принципиальный момент

Для того, чтоб можно было воспользоваться автоматической подачей заявки, нужно поначалу сделать шаблон сертификата в службе каталогов Active Directory.

Опции, данные по дефлоту

По дефлоту заданы последующие опции:

Настраивать шаблоны в домене, в каком выполнялось обновление до Microsoft Windows 2000, могут только админы корневого домена.
Настраивать шаблоны поновой установленных доменов Microsoft Windows 2000 могут как админы корневого домена, так и админы предприятия.
Списки ACL шаблона сертификата показываются в оснастке Шаблоны сертификатов (Certificate Templates) консоли MMC.
Шаблоны сертификатов можно клонировать и редактировать при помощи оснастки Шаблоны сертификатов (Certificate Templates) консоли MMC.

Примечание. Шаблоны версии 2 поддерживает только домен на базе Windows Server 2003 и только Windows Server 2003 Enterprise Edition может выпускать сертификаты шаблона версии 2.

Создание нового шаблона для автоматической подачи заявки на сертификат смарт-карты

Для сотворения нового шаблона для автоматической подачи заявки на сертификат смарт-карты:

1. Войдите под учетной записью админа домена.
2. В меню Запуск (Start) нажмите Выполнить (Run).
3. В поле Открыть (Open) диалогового окна Выполнить (Run) введите mmc.exe и потом нажмите OK.
4. В меню Консоль (File) изберите Добавить либо удалить оснастку (Add/Remove Snap-in).
5. В диалоговом окне Добавить либо удалить оснастку (Add/Remove Snap-in) нажмите Добавить… (Add).
6. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) изберите Шаблоны сертификатов (Certificate Templates) и потом нажмите Добавить (Add).

Примечание. Оснастка Шаблоны сертификатов (Certificate Templates) консоли MMC доступна в серверной версии Windows Server 2003 либо в ОС Windows XP Professional с установленным Пакетом инструментов для администрирования сервера (Administration Tools Pack installation on the Server media).

7. Нажмите Закрыть (Close).
8. Нажмите OK.

Примечание. К оснастке Шаблоны сертификатов (Certificate Templates) консоли MMC также можно получить доступ при помощи оснастки Центр сертификации (Certification Authority) консоли MMC, выбрав папку Certificate Templates, щелкнув по ней правой кнопкой мыши и выбрав Управление (Manage).

9. В дереве консоли изберите Шаблоны сертификатов (Certificate Templates).
10. В области сведений щелкните правой кнопкой по шаблону Юзер со смарт-картой (Smartcard User) и потом щелкните Скопировать шаблон (Duplicate Template), как показано ниже на Рисунке 1. 

Автоматическая подача заявок на сертификаты в ОС Windows XP

Набросок 1 – Создание нового шаблона для автоматической подачи заявки на сертификат смарт-карты

Раскроется диалоговое окно параметров нового шаблона с открытой вкладкой Общие (General).

11. В поле Отображаемое имя шаблона (Template display name) введите уникальное заглавие для шаблона, как показано ниже на Рисунке 2. 

Автоматическая подача заявок на сертификаты в ОС Windows XP

Набросок 2 – Задание наименования шаблону 
Примечание. Если установлен параметр Не использовать автоматическую перезаявку, если таковой сертификат уже существует в Active Directory (Do not automatically reenroll if a duplicate certificate exists Active Directory), то процесс автоматической подачи заявок не выполнит подачу заявки юзера на шаблон сертификата даже в этом случае, если сертификата нет в «Моем» хранилище юзера. Active Directory делает запрос и определяет, можно ли юзеру подавать заявку. Это очень нужная функция для тех юзеров, у каких нет перемещаемых профилей, и которые работают на нескольких компьютерах. Без этой опции и без перемещаемых профилей юзер будет автоматом зарегистрирован на любом компьютере, на котором выполнил вход (включая серверы).

12. Изберите вкладку Обработка запроса (Request Handling), как показано ниже на рисунке 3. Эта вкладка употребляется для определения метода обработки запроса сертификата (включая выбор поставщиков служб криптографии CSP (CSP-cryptographic service providers) и малого размера ключа шифрования, которые будут употребляться шаблоном автоматической подачи заявки).

(В данном примере употребляется поставщик служб криптографии (CSP) смарт-карты Gemplus GemSAFE, которая и будет разрешена для использования в этом шаблоне. Если у юзера нет таковой смарт-карты, то ему не получится пользоваться автоматической подачей заявки для этого шаблона сертификата). 

Автоматическая подача заявок на сертификаты в ОС Windows XP

Набросок 3 – Определение метода обработки запроса сертификата

Принципиально: Если на данной вкладке разрешить более 1-го поставщика служб криптографии (CSP) для смарт-карты, то во время выполнения подачи заявки на этот шаблон будет выдан запрос юзеру о каждом избранном поставщике служб криптографии (CSP). Деяния могут отличаться зависимо от наличия поставщиков служб криптографии (CSP), доступных на клиентском компьютере. Если у юзера только одна смарт-карта, то ему нужно будет отклонить все выдаваемые запросы об других труднодоступных поставщиках служб криптографии (CSP). Данное поведение является особенностью продукта. Для удачного выполнения подачи заявки нужно также указать малый размер ключа шифрования, который поддерживается избранным поставщиком служб криптографии (CSP).

13. Установите флаг Для автоматической подачи требуется ввод юзера (Require user input for autoenrollment), как показано выше на Рисунке 3 (при всем этом для удачного выполнения подачи заявки на сертификат смарт-карты нужно будет роль юзера).

Принципиально: Данная функция не нужна, если шаблоны сертификатов не подразумевается использовать для смарт-карт либо если юзер не желает отвечать на появляющиеся запросы подачи заявки на сертификаты. Для сертификатов компов не надо устанавливать этот флаг. Если его установить, компьютер не сумеет выполнить автоматическую подачу заявки.

14. Изберите вкладку Имя субъекта (Subject Name). Данная вкладка употребляется для определения имени субъекта и характеристики сертификата. Рекомендуется использовать данные по дефлоту характеристики для воплощения подачи заявки на шаблон сертификата смарт-карты.
15. Изберите вкладку Расширения (Extensions). На данной вкладке можно указать, каким образом разные расширения будут добавлены в шаблон сертификата при подаче заявки. Рекомендуется использовать опции, данные по дефлоту.

Примечание. Политики внедрения (Application Policies) являются подменой Расширенного использования ключа (Extended Key Usage (EKU)) в Windows Server 2003, хотя EKU все еще поддерживается для старенькых приложений и клиентских операционных систем.

16. Изберите вкладку Безопасность (Security). На данной вкладке можно указать юзеров и группы юзеров, которые могут делать подачу заявки либо автоматическую подачу заявки на шаблон сертификата. Для того чтоб иметь возможность автоматом подать заявку на шаблон сертификата, юзер либо группа обязаны иметь разрешения:  Чтение (Read), Подача заявки (Enroll) и Автоматическая подача заявки (Autoenroll).
17. Для окончания нажмите OK. В столбце Автоматическая подача заявки (Autoenrollment) сейчас должно отображаться Разрешено (Allowed).

Примечание. Если шаблон подходит для автоматической подачи заявки, то это будет автоматом отражено на статусе в столбце Автоматическая подача заявки (Autoenrollment). Юзер не сумеет поменять значение статуса. Автоматическая подача заявки не будет разрешена в этом случае, если шаблон просит наличия более чем одной подписи центра регистрации (RA – registration authority) либо если шаблон поставляется запросившей его стороной. Столбец не отражает состояние перечня ACL автоматической подачи заявки шаблона. Принципиально: Смарт-карта, выпущенная для клиента Windows XP либо Станции подачи заявок (Enrollment Station) Windows XP (центра регистрации) будет совместима только с клиентом Windows XP. Меж разными смарт-картами и производителями поставщиков криптографии (CSP) нет полной сопоставимости. Для получения дополнительной инфы о способности использования одной смарт-карты для входа как в ОС Windows 2000, так и в ОС Windows XP, обратитесь к производителям смарт-карты и CSP.

Разрешения шаблона сертификата

Для того, чтоб юзер либо компьютер могли делать подачу заявки на шаблон сертификата, для шаблона должен быть соответственный набор разрешающих записей ACE в службе каталогов Active Directory. Юзер либо компьютер обязаны иметь разрешения, как на чтение, так и на запись для того, чтоб выполнить подачу заявки на избранный шаблон сертификата.

Разрешение на чтение (Read permission) позволяет юзеру просматривать шаблоны
Разрешение на подачу заявки (Enroll permission) приводится в выполнение центром сертификации предприятия, когда юзер подает запрос на сертификат избранного шаблона. Центр сертификации предприятия обязан иметь разрешение на чтение в шаблоне для того, чтоб перечислить шаблон в каталоге и выпускать сертификаты, основанные на этом шаблоне. Обычно центр сертификации предприятия по дефлоту включен в группу Прошедшие проверку юзеры (Authenticated Users), у которой есть разрешение на чтение в шаблоне.
Разрешение на полный доступ (Full Control permission) по дефлоту предоставлено группе админов предприятия и админов первичного домена, если производилась незапятнанная установка домена на базе ОС Windows Server 2003. В этом случае, если выполнялось обновление домена с ОС Windows 2000, то у админов предприятия по дефлоту не будет таких разрешений. Разрешение на полный доступ позволяет юзерам устанавливать и изменять разрешения для избранного шаблона.
Разрешение на автоматическую подачу заявки (Autoenroll permission) устанавливается в шаблоне в этом случае, если нужно, чтоб юзер либо компьютер автоматом подавал заявку на избранный шаблон сертификата. Разрешение на автоматическую подачу заявки нужно юзеру в дополнение к разрешению на подачу заявки, для того чтоб выполнить подачу заявки на данный шаблон сертификата. Только шаблоны версии 2 либо вновь сделанные шаблоны могут иметь набор записей ACE автоматической подачи заявки.
Разрешение на запись (Write permission) позволяет юзерам изменять содержимое шаблона сертификата. Стоит отметить, что сертификаты версии 2 можно изменять только при использовании ОС Windows Server 2003. Шаблоны сертификатов версии 1 позволяют изменять только списки управления доступом (ACL).

Наверх странички

Настройка центра сертификации предприятия

В данном разделе описывается настройка центра сертификации предприятия компании Microsoft нужная после его сотворения для выпуска шаблонов сертификатов.

Настройка центра сертификации предприятия

Для опции центра сертификации предприятия:

1. В разделе Администрирование (Administrative Tools) откройте оснастку Центр сертификации (Certification Authority).
2. В дереве консоли откройте оснастку центр сертификации и потом изберите Шаблоны сертификатов (Certificate Templates), как показано ниже на Рисунке 4. 

Автоматическая подача заявок на сертификаты в ОС Windows XP

Набросок 4 – Выбор шаблонов сертификатов

3. Щелкните правой кнопкой мыши Шаблон сертификата (Certificate Template), изберите Сделать (New) и потом изберите Выдаваемый шаблон сертификата (Certificate Template to Issue).
4. В диалоговом окне Включение шаблонов сертификатов (Enable Certificate Templates), которое показано на Рисунке 5, изберите Auto Enroll Smartcard User, нажмите OK. (Шаблон сертификата с заглавием Auto Enroll Smartcard User был сотворен ранее. Обратитесь к разделу «Создание нового шаблона для автоматической подачи заявки смарт-карты»). 
 

Автоматическая подача заявок на сертификаты в ОС Windows XP

  Набросок 5 – Включение шаблона сертификата в центре сертификации

Примечание. Вероятна ситуация, когда центр сертификации не сумеет одномоментно выдать шаблон сертификата из-за задержки репликации и кэширования шаблона в реестре. Время выдачи находится в зависимости от задержки репликации меж контроллерами домена.

5. Закройте оснастку Центр сертификации (Certification Authority) консоли MMC.

Наверх странички

Настройка групповой политики

В данном разделе описывается настройка групповой политики для веб-сайта, домена либо подразделения.

Настройка групповой политики

Для обеспечения автоматической подачи заявки на сертификаты в домене нужно выполнить настройку групповой политики для веб-сайта, домена либо подразделения.

Для опции групповой политики:

1. Откройте оснастку Active Directory – юзеры и компы (Active Directory – Users and Computers) консоли MMC.
2. Щелкните правой кнопкой мыши на веб-сайте, домене либо подразделении, для которого нужно настроить групповую политику, и изберите Характеристики (Properties).
3. Изберите вкладку Групповая политика (Group Policy) и нажмите кнопку Поменять (Edit), как показано ниже на Рисунке 6. 

Автоматическая подача заявок на сертификаты в ОС Windows XP

  Набросок 6 – Выбор опций характеристик групповой политики

Примечание. Настройка политики компьютера для автоматической подачи заявки на сертификаты компьютера и контроллера домена делается аналогично, хотя и управляется через политику компьютера групповой политики.

4. Изберите Характеристики конфигурации юзера (User Configuration settings), потом Конфигурация Windows (Windows Settings), Характеристики безопасности (Security Settings) и потом Политики открытого ключа (Public Key Policies). Щелкните правой кнопкой по объекту Характеристики автоматической подачи заявок (Autoenrollment Settings), как показано ниже на Рисунке 7, потом изберите Характеристики (Properties).  

Автоматическая подача заявок на сертификаты в ОС Windows XP

  Набросок 7 – Выбор характеристик автоматической подачи заявки

5. Удостоверьтесь, что тумблер установлен в положение Подавать заявки на сертификаты автоматом (Enroll certificates automatically), как показано ниже на Рисунке 8. Установите также имеющиеся два флага, чтоб обеспечить автоматическое обновление, чистку сертификатов и регистрацию в службе каталогов Active Directory.

Автоматическая подача заявок на сертификаты в ОС Windows XP

Набросок 8 – Выбор характеристик автоматической подачи заявки

6. Нажмите OK. Сейчас автоматическая подача заявки включена.

Наверх странички

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.