组策略实现用户和计算机自动申请注册证书

已于 2023-04-27 11:32:45 修改
阅读量3.2k 收藏 19
点赞数 3
文章标签: 服务器 windows
于 2023-04-26 14:57:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wulala112233/article/details/130385639
版权

(1)首先,需要拥有一个域环境,并安装一台证书服务器

(2)在域控上配置相关组策略

用户情况:

  1. 在 "组策略对象"中,单击"浏览 "。 " 浏览对象组策略对话框 随即打开。

  2. 在 "域、OUS 和链接组策略对象"中,单击 "默认 策略",然后单击"确定 "

  3. 单击“完成”,然后单击“确定”。

  4. 双击"默认 域策略"。 在控制台中,展开以下路径:用户配置、策略、Windows 设置、设置

  5. 单击 "公钥策略"。 在细节窗格中,双击“证书服务客户端 - 自动注册”。 此时将打开“ 属性”对话框。 配置以下项,然后单击"确定 "

    1. “配置模式”中,选择“已启用”
    2. 选中" 续订过期证书、更新挂起的证书并删除吊销的证书 "复选框。
    3. 选中更新使用证书模板的证书复选框。

  6. 单击 “确定” 。

 计算机情况:

  1. 在 "组策略对象"中,单击"浏览 "。 " 浏览对象组策略对话框 随即打开。

  2. 在 "域、OUS 和链接组策略对象"中,单击 "默认 策略",然后单击"确定 "

  3. 单击“完成”,然后单击“确定”。

  4. 双击"默认 域策略"。 在控制台中,展开以下路径:计算机配置、策略、Windows 设置、设置和公钥策略

  5. 单击 "公钥策略"。 在细节窗格中,双击“证书服务客户端 - 自动注册”。 此时将打开“ 属性”对话框。 配置以下项,然后单击"确定 "

    1. “配置模式”中,选择“已启用”
    2. 选中" 续订过期证书、更新挂起的证书并删除吊销的证书 "复选框。
    3. 选中更新使用证书模板的证书复选框。

  6. 单击 “确定” 。

  • 注意要成功应用上,可以在客户机使用rsop.msc等确认,gpupdate /force更新加快速度

  • (3) 配置证书服务器的证书模板

  • 右键证书模板,选择管理,打开证书模板控制台

  •  选择分别用户和计算机模板。复制,将名称修改成autouser、autocomputer等方便记忆的名称

  •  勾选在AD中发布证书

  • 在安全选项卡中,为要应用的用户或者组修改权限,需要勾选读取、注册、自动注册

  • (4)颁发证书模板

  • 证书模板——新建——要颁发的证书模板,将复制好的模板autouser,autocomputer等颁发

    (5)客户端自动注册

    客户端使用gpupdate /force命令更新组策略

    不出意外的话,证书服务器就能查看到成功颁发的证书了

    常见错误

    (1)这个CA不支持请求的证书模板

    证书服务器显示:

    客户端事件显示:

    之所以发生此行为,是因为从模板的访问控制列表中删除了经过身份验证的用户组 (ACL) 。 默认情况下,经过身份验证的用户组位于模板 ACL 上。 (CA 本身包含在此组中。) 如果删除了“经过身份验证的用户”组,则 (企业) CA 本身将无法再读取 Active Directory 中的模板,这就是证书请求可能不成功的原因。

    如果管理员想要删除经过身份验证的用户组,则必须将每个 CA 的计算机帐户添加到模板 ACL 并设置为“读取”。(解释来自microsoft learn)

  • 翻译过来就是没添加或者删除了这条

    (2)DNS名不可用或电子邮件不可用

    服务器显示:

     客户端显示:

    其实就是因为缺少相对应的信息,所以无法申请成功,可以选择在用户信息相关处补充填写,或者直接在模板中删除DNS名选项

  •  

  • 如何导出并使用证书

    为了方便将证书导出到自己熟悉的路径,可以cmd打开控制台

     文件,添加或删除管理单元

     选择证书,添加,然后选择要导出证书的账户

  • 然后选择本地计算机,确定;然后打开证书单元——个人——证书

    右键要导出的证书,选择所有任务——导出,然后存储到需要的位置

    然后就可以将证书应用到网站或者VPN等地方了。

     

Mr.咕咕
关注
windows自动颁发证书
a1119619789的博客
03-12 798
适用于参加网络系统管理的学生进行学习与参考
2022年全国职业技能大赛-网络系统管理赛项:Windows Server&AD - 自动颁发证书
君逍遥o
11-19 2355
2022年全国职业技能大赛-网络系统管理赛项:Windows Server&AD - 自动颁发证书
自动颁发证书 AD策略
m0_65771635的博客
11-10 9604
所有用户的IE浏览器设置为 "https://www.chinaskills.com"计算机-windows设置-安全设置-Public key。用户能够使用[username]@csk.cn 进行登陆。新建一个名为"CSK"的OU OU-组织单元的缩写。除manager组 IT组 所有普通用户禁止使用cmd。进入证书管理器 内所有计算机自动颁发一张计算机证书。除manager IT组 所有用户隐藏C盘。允许计算机证书导出的时候 把密钥同时导出。然后去inside试一下。
组策略实现用户证书自动注册申请:ISA2006系列之二十八
weixin_33857230的博客
09-23 347
组策略实现用户证书自动注册申请 在前面的博文中,我们已经在邮件加密,安全Web站点,TLS通讯,智能卡等诸多的应用领中接触到了证书证书在安全领的重要性已是不言而喻。如果我们在内网搭建了CA服务器用户应该如何获取证书呢?用户申请证书一般有两种方式,如下图所示,用户既可以通过MMC控制台也可以利用浏览器进行证书注册申请。但这两种证书申请方式对普通用户来说都有一定的技术难度,如果管理员代...
配置证书自动注册
weixin_33708432的博客
11-23 360
配置证书自动注册 l 在 NYC-DC1 上安装并配置证书服务, CA 名称WoodGroveBank-CA l 允许Authenticated Users注册权限 l NYC-DC1 上打开组策略管理工具,并配置自动证书注册 l 验证自动证书注册, NYC-SVR1 虚拟机,首先在...
环境中,通过组策略分发证书
最新发布
一个热衷于研究问题、解决问题的IT男;一个执着于知其然更要知其所以然的小男孩
02-23 856
5、 返回到 名上 (如: xxx.com ) ,鼠标右击 --> 链接现有GPO --> 在 组策略对象中 找到自己创建的组策略 ( 证书分发-k8s-root ) --> 点击 确定。3、 组策略编辑器中, 打开 计算机配置 --> Windows设置 --> 安全设置 --> 公钥策略 --> 受信任的根证书颁发机构。4、 在右侧的窗口中 鼠标右击,导入 --> 下一步 --> 选择证书 --> 下一步 --> 下一步 --> 完成。2、 鼠标右击,编辑 ,打开组策略编辑器。
PKI系列:(7)部署自己企业内部的PKI架构【基于环境,通过组策略自动注册证书
网络之路Blog(其他平台同名)
03-05 1202
说明 无论我们在做dot1x或者SSL VPN的时候,都需要申请个人证书,对于企业内部来说,可以构建企业级CA,配合组策略,可以实现自动信任根、自动申请证书计算机证书。这样一来,无疑是减轻了在部署时候的工作量,也有非常好的扩展性。 1、微软企业级证书创建后,所有加的客户端都会自动信任这个证书机构,因为它会隐含通过组策略把根证书下放下去。 2、如果是合作伙伴的CA服务器证书,那么可以通过组策略自动让内部的客户端信任这个CA服务器。 3、计算机证书一般不需要申请,除非在做机器认证给radius服务
windows 证书服务(安装 计算机用户证书使用组策略自动分发)
weixin_39568073的博客
12-20 4622
在DC上安装证书服务 http://localhost/certsrv/ 自动计算机证书注册 PC端 自定义用户证书模板用户组加入进去 ...
组策略与安全配置:申请安装客户证书详解
组策略界面由左右两部分组成,左边窗格的【“本地计算机”策略】包含【计算机配置】用户配置】两个子项,右边窗格则显示具体的策略设置选项。 组策略对象(GPO)是组策略的核心组成部分,它是一组策略设置的...
windows server 2022Datecenter配置组策略,主机自动申请ipsec模板证书自动注册“工作站身份验证”模板证书,该模板可用作“服务器身份验证”,有效期5年。
05-10
您可以按照以下步骤在Windows Server 2022 Datacenter上配置组策略,使中的主机自动申请ipsec模板证书,并自动注册“工作站身份验证”模板证书: 1. 打开“组策略管理器”(gpedit.msc)。 2. 在左侧的...
组策略给客户端安装证书
10-27
组策略给客户端安装证书
2022国赛16:windows 部分组策略
weixin_41687096的博客
04-03 9964
2022国赛16:windows 部分组策略题。
Windows Server 2003证书服务配置与组策略详解
证书服务管理提供了信任基础,确保了网络中的通信安全,而组策略则通过集中化的管理方式,维护了用户计算机的配置,增强了整体系统安全。两者共同构成了IT环境中不可或缺的安全管理机制。了解并熟练掌握这两个领...
CA配置证书自动注册
夜邢的博客
05-21 1639
CA配置证书自动注册 用户证书计算机证书自动注册
计算机设置自动证书申请循序渐进指南 (全文)
weixin_33755554的博客
05-17 605
摘要 本循序渐进指南讲述的内容是,如何使用 Microsoft 管理控制台 (MMC) 组策略管理单元给基于 Microsoft®® Windows®2000 的中的计算机设置自动证书申请。通过给计算机颁发证书可以使其使用公钥安全系统服务应用程序。例如,Internet 协议安全 (IPSec) 使用证书可以进行身份验证以及安全地与远程计算机进行通信。 引言 本循序渐进指南讲述的内容是...
网络安全—部署CA证书服务器
本散修的一些学习心得与笔记,道友请自便。
01-03 2973
使用windows Server 2003环境。部署CA证书服务器实现申请、颁发证书
实现CA证书创建及客户端申请证书
weixin_30372371的博客
07-17 1287
author:JevonWei 版权声明:原创作品 CA证书的相关文件路径 openssl配置文件/etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf CA相关文件都在/etc/pki/CA/目录下 /etc/pki/CA/cert 存放发布证书 /etc/pki/CA/crl 证书吊销列表 /etc/pki/CA/index...
配置SCCM 2012 SP1使用证书
weixin_34055910的博客
08-01 185
SCCM(system center 2012 configuration manager)是微软推出的一款非常优秀的企业客户端管理软件,是system center套件的一部分。默认SCCM服务器SCCM客户端通信的时候,走的是HTTP的通信,在部署SCCM的时候我们可以选择针对客户端的通信设置是否采用HTTPS,如果需要采用HTTPS,那么在部署之前,就需要我们来进行一系列的证书设置。--...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值