标签:ad cs
实验目的:配置受限注册代理
实验环境:LON-DC1 Windows2012R2 AD+ADCS 172.16.0.10
LON-CL1 Windows8 Client 172.16.0.100
实验步骤:
登入LON-DC1,从服务器管理器中打开证书颁发机构
右键点击证书模板,选择管理
在模板列表中找到注册代理模板,双击打开它的属性,并打开安全选项卡,点击添加,将User1加入并赋予读取和注册权限
完成上面操作后,回到证书颁发机构,右键点击证书模板,选择新建->要颁发的证书模板
选择注册代理模板,让它添加到证书模板容器中
接下来我们使用user1登入LON-CL1计算机,并执行mmc.exe命令,打开控制台,然后添加证书管理单元
在证书管理单元中,右键选中个人容器,然后选择所有任务->申请新证书
在向导中默认下一步执行,直到请求证书页面,然后选择注册代理,点击注册,完成配置向导
注册的时候可能会碰到吊销服务器脱机的错误,这个问题可能是企业从属CA上没有从独立根CA上复制CRLs和根证书,我们可以通过命令手动的将它加入到企业从属CA上,certutil -addstore root adatumrootca.crl 和 certutil -addstore root lon-svr1_adatumrootca.crt,完成注册代理证书的注册,我们可以看到个人容器里面多了一个证书
在客户端申请完证书后,切换到LON-DC1,打开AdatumRootCA的属性,选择注册代理选项卡
我们配置User1只能为域内的用户(domain users群组的用户)注册用户模板证书,这里我们选择受限设置,并参照下图的配置
注册代理配置的实验到此完成。
本文出自 “乾涸的海綿” 博客,请务必保留此出处http://thefallenheaven.blog.51cto.com/450907/1618558
标签:ad cs
原文地址:http://thefallenheaven.blog.51cto.com/450907/1618558
