配置证书自动注册

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

注意

执行此过程之前,必须在运行 AD CS 的 CA 上使用证书模板 Microsoft 管理控制台管理单元来配置服务器证书模板。 若要完成此过程,至少需要Enterprise 管理员和根域的domain Admins组中的成员身份。

配置服务器证书自动注册

  1. 在安装了 AD DS 的计算机上,打开 Windows PowerShell®,键入mmc,然后按 enter。 将打开 Microsoft 管理控制台。

  2. 在“文件” 菜单上,单击“添加/删除管理单元” 。 " 添加或删除管理单元 " 对话框将打开。

  3. 在 " 可用的管理单元" 中,向下滚动到并双击 组策略管理编辑器。 此时将打开 " 选择组策略对象 " 对话框。

    重要

    请确保选择 组策略管理编辑器 而不 组策略管理。 如果选择 组策略管理,则使用这些说明的配置将失败,并且不会将服务器证书自动注册到 NPSs。

  4. 组策略对象中,单击 " 浏览"。 此时将打开 " 浏览组策略对象 " 对话框。

  5. 域、ou 和链接组策略对象中, 单击 " 默认域策略",然后单击 "确定"

  6. 单击“完成”,然后单击“确定”

  7. 双击 " 默认域策略"。 在控制台中,展开以下路径: "计算机配置"、"策略"、" Windows 设置"、"安全设置" 和 "公钥策略"。

  8. 单击 " 公钥策略"。 在细节窗格中,双击“证书服务客户端 - 自动注册”。 此时将打开“ 属性”对话框。 配置以下各项,然后单击 "确定"

    1. “配置模型”中,选择“已启用”
    2. 选中 " 续订过期证书、更新未决证书并删除吊销的证书 " 复选框。
    3. 选中更新使用证书模板的证书复选框。
  9. 单击“确定”。

配置用户证书自动注册

  1. 在安装了 AD DS 的计算机上,打开 Windows PowerShell®,键入mmc,然后按 enter。 将打开 Microsoft 管理控制台。

  2. 在“文件” 菜单上,单击“添加/删除管理单元” 。 " 添加或删除管理单元 " 对话框将打开。

  3. 在 " 可用的管理单元" 中,向下滚动到并双击 组策略管理编辑器。 此时将打开 " 选择组策略对象 " 对话框。

    重要

    请确保选择 组策略管理编辑器 而不 组策略管理。 如果选择 组策略管理,则使用这些说明的配置将失败,并且不会将服务器证书自动注册到 NPSs。

  4. 组策略对象中,单击 " 浏览"。 此时将打开 " 浏览组策略对象 " 对话框。

  5. 域、ou 和链接组策略对象中, 单击 " 默认域策略",然后单击 "确定"

  6. 单击“完成”,然后单击“确定”

  7. 双击 " 默认域策略"。 在控制台中,展开以下路径: "用户配置"、"策略"、" Windows 设置"、"安全设置"。

  8. 单击 " 公钥策略"。 在细节窗格中,双击“证书服务客户端 - 自动注册”。 此时将打开“ 属性”对话框。 配置以下各项,然后单击 "确定"

    1. “配置模型”中,选择“已启用”
    2. 选中 " 续订过期证书、更新未决证书并删除吊销的证书 " 复选框。
    3. 选中更新使用证书模板的证书复选框。
  9. 单击“确定”。

后续步骤

刷新组策略