实验目的:配置受限注册代理
实验环境:LON-DC1 Windows2012R2 AD+ADCS 172.16.0.10
LON-CL1 Windows8 Client 172.16.0.100
实验步骤:
登入LON-DC1,从服务器管理器中打开证书颁发机构
右键点击证书模板,选择管理
在模板列表中找到注册代理模板,双击打开它的属性,并打开安全选项卡,点击添加,将User1加入并赋予读取和注册权限
完成上面操作后,回到证书颁发机构,右键点击证书模板,选择新建->要颁发的证书模板
选择注册代理模板,让它添加到证书模板容器中
接下来我们使用user1登入LON-CL1计算机,并执行mmc.exe命令,打开控制台,然后添加证书管理单元
在证书管理单元中,右键选中个人容器,然后选择所有任务->申请新证书
在向导中默认下一步执行,直到请求证书页面,然后选择注册代理,点击注册,完成配置向导
注册的时候可能会碰到吊销服务器脱机的错误,这个问题可能是企业从属CA上没有从独立根CA上复制CRLs和根证书,我们可以通过命令手动的将它加入到企业从属CA上,certutil -addstore root adatumrootca.crl 和 certutil -addstore root lon-svr1_adatumrootca.crt,完成注册代理证书的注册,我们可以看到个人容器里面多了一个证书
在客户端申请完证书后,切换到LON-DC1,打开AdatumRootCA的属性,选择注册代理选项卡
我们配置User1只能为域内的用户(domain users群组的用户)注册用户模板证书,这里我们选择受限设置,并参照下图的配置
注册代理配置的实验到此完成。
转载于:https://blog.51cto.com/thefallenheaven/1618558
7165
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
