MIM CM(Microsoft Identity Manager Certificate Manager 2016)을 설치하는 데는 여러 단계가 포함됩니다. 프로세스를 단순화하는 방법으로 우리는 일을 분해하고 있습니다. 실제 MIM CM 단계 전에 수행해야 하는 예비 단계가 있습니다. 예비 작업이 없으면 설치가 실패할 수 있습니다.
아래 다이어그램은 사용할 수 있는 환경 형식의 예를 보여 줍니다. 숫자가 있는 시스템은 다이어그램 아래 목록에 포함되며 이 문서에서 다루는 단계를 성공적으로 완료해야 합니다. 마지막으로 Windows 2016 데이터 센터 서버가 사용됩니다.
- CORPDC – 도메인 컨트롤러
- CORPCM – MIM CM 서버
- CORPCA – 인증 기관
- CORPCMR – MIM CM Rest API 웹 – REST API용 CM 포털 – 나중에 사용
- CORPSQL1 – SQL 2016 SP1
- CORPWK1 – Windows 10 도메인 가입
배포 개요
기본 운영 체제 설치
랩은 Windows 2016 Datacenter 서버로 구성됩니다.
참고
MIM 2016에 지원되는 플랫폼에 대한 자세한 내용은 MIM 2016용 지원되는 플랫폼이라는 문서를 참조하세요.
배포 전 단계
서비스 계정 만들기
IIS
Kerberos 구성
데이터베이스 관련 단계
SQL 구성 요구 사항
데이터베이스 사용 권한
배포
배포 전 단계
MIM CM 구성 마법사를 성공적으로 완료하려면 정보를 제공해야 합니다.
스키마 확장
스키마를 확장하는 프로세스는 간단하지만 되돌릴 수 없는 특성으로 인해 신중하게 접근해야 합니다.
참고
이 단계를 수행하려면 사용된 계정에 스키마 관리자 권한이 있어야 합니다.
MIM 미디어의 위치를 찾아 \Certificate Management\x64 폴더로 이동합니다.
스키마 폴더를 CORPDC에 복사한 다음, 해당 폴더로 이동합니다.
스크립트 resourceForestModifySchema.vbs를 단일 포레스트 시나리오에서 실행합니다. 리소스 포리스트 시나리오의 경우 스크립트를 실행합니다.
DomainA – 위치한 사용자(userForestModifySchema.vbs)
ResourceForestB – CM 설치 위치(resourceForestModifySchema.vbs).
참고
스키마 변경은 단방향 작업이며 롤백하려면 반드시 포리스트 복구가 필요하므로, 필요한 백업이 있는지 반드시 확인하십시오. 이 작업을 수행하여 스키마에 대한 변경 내용에 대한 자세한 내용은 Forefront Identity Manager 2010 인증서 관리 스키마 변경 문서를 검토합니다.
스크립트를 실행하면 스크립트가 완료되면 성공 메시지가 표시됩니다.
이제 AD의 스키마가 MIM CM을 지원하도록 확장되었습니다.
서비스 계정 및 그룹 만들기
다음 표에는 MIM CM에 필요한 계정 및 사용 권한이 요약되어 있습니다. MIM CM에서 다음 계정을 자동으로 만들도록 허용하거나 설치하기 전에 만들 수 있습니다. 실제 계정 이름을 변경할 수 있습니다. 계정을 직접 만드는 경우 사용자 계정 이름을 해당 함수와 쉽게 일치시킬 수 있도록 사용자 계정의 이름을 지정하는 것이 좋습니다.
사용자:
| 역할 | 사용자 로그온 이름 |
|---|---|
| MIM CM 에이전트 | MIMCMAgent |
| MIM CM 키 복구 에이전트 | MIMCMKRAgent |
| MIM CM 권한 부여 에이전트 | MIMCMAuthAgent |
| MIM CM CA 관리자 에이전트 | MIMCMManagerAgent |
| MIM CM 웹 풀 에이전트 | MIMCMWebAgent |
| MIM CM 등록 에이전트 | MIMCMEnrollAgent |
| MIM CM 업데이트 서비스 | MIMCMService |
| MIM 설치 계정 | MIMINSTALL |
| 지원 센터 에이전트 | CMHelpdesk1-2 |
| CM 관리자 | CMManager1-2 |
| 구독자 사용자 | CMUser1-2 |
그룹:
| 역할 | 그룹 |
|---|---|
| CM 기술 지원팀 구성원 | MIMCM-헬프데스크 |
| CM 관리자 구성원 | MIMCM-매니저들 |
| CM 구독자 구성원 | MIMCM-구독자 |
Powershell: 에이전트 계정:
import-module activedirectory
## Agent accounts used during setup
$cmagents = @{
"MIMCMKRAgent" = "MIM CM Key Recovery Agent";
"MIMCMAuthAgent" = "MIM CM Authorization Agent"
"MIMCMManagerAgent" = "MIM CM CA Manager Agent";
"MIMCMWebAgent" = "MIM CM Web Pool Agent";
"MIMCMEnrollAgent" = "MIM CM Enrollment Agent";
"MIMCMService" = "MIM CM Update Service";
"MIMCMAgent" = "MIM CM Agent";
}
##Groups Used for CM Management
$cmgroups = @{
"MIMCM-Managers" = "MIMCM-Managers"
"MIMCM-Helpdesk" = "MIMCM-Helpdesk"
"MIMCM-Subscribers" = "MIMCM-Subscribers"
}
##Users Used during testlab
$cmusers = @{
"CMManager1" = "CM Manager1"
"CMManager2" = "CM Manager2"
"CMUser1" = "CM User1"
"CMUser2" = "CM User2"
"CMHelpdesk1" = "CM Helpdesk1"
"CMHelpdesk2" = "CM Helpdesk2"
}
## OU Paths
$aoupath = "OU=Service Accounts,DC=contoso,DC=com" ## Location of Agent accounts
$oupath = "OU=CMLAB,DC=contoso,DC=com" ## Location of Users and Groups for CM Lab
#Create Agents – Update UserprincipalName
$cmagents.GetEnumerator() | Foreach-Object {
New-ADUser -Name $_.Name -Description $_.Value -UserPrincipalName ($_.Name + "@contoso.com") -Path $aoupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}
#Create Users
$cmusers.GetEnumerator() | Foreach-Object {
New-ADUser -Name $_.Name -Description $_.Value -Path $oupath
$cmpwd = ConvertTo-SecureString "Pass@word1" –asplaintext –force
Set-ADAccountPassword –identity $_.Name –NewPassword $cmpwd
Set-ADUser -Identity $_.Name -Enabled $true
}
에이전트 계정에 대한 CORPCM 서버 로컬 정책 업데이트
| 사용자 로그온 이름 | 설명 및 사용 권한 |
|---|---|
| MIMCMAgent | 다음 서비스를 제공합니다. - CA에서 암호화된 프라이빗 키를 검색합니다. - FIM CM 데이터베이스에서 스마트 카드 PIN 정보를 보호합니다. - FIM CM과 CA 간의 통신을 보호합니다. 이 사용자 계정에는 다음 액세스 제어 설정이 - 필요합니다:로컬 로그온 허용 사용자 권한. - 인증서 발급 및 관리 사용자 권한. - 시스템 임시 폴더에 대한 읽기 및 쓰기 권한은 %WINDIR%\Temp 위치입니다. - 사용자 저장소에 발급되고 설치된 디지털 서명 및 암호화 인증서입니다. |
| MIMCMKRAgent | CA에서 보관된 프라이빗 키를 복구합니다. 이 사용자 계정에는 다음과 같은 액세스 제어 설정이 필요합니다: - 로컬로 로그온 허용 사용자 권한. - 로컬 관리자 그룹의 멤버 자격. - KeyRecoveryAgent 인증서 템플릿에 대한 사용 권한을 등록합니다. - 키 복구 에이전트 인증서가 발급되어 사용자 저장소에 설치됩니다. 인증서를 CA의 키 복구 에이전트 목록에 추가해야 합니다. - 다음 위치에서 시스템 Temp 폴더에 대한 읽기 권한 및 쓰기 권한: %WINDIR%\\Temp. |
| MIMCMAuthAgent | 사용자 및 그룹에 대한 권한을 설정합니다. 이 사용자 계정에는 다음 액세스 제어 설정이 필요합니다. - Windows 2000 이전 호환 액세스 도메인 그룹의 멤버 자격. - 보안 감사 생성 사용자에게 권한을 부여 했습니다 . |
| MIMCMManagerAgent | CA 관리 작업을 수행합니다.
이 사용자에게는 CA 관리 권한이 할당되어야 합니다. |
| MIMCMWebAgent | IIS 애플리케이션 풀에 대한 ID를 제공합니다. FIM CM은 이 사용자의 자격 증명을 사용하는 Microsoft Win32® 애플리케이션 프로그래밍 인터페이스 프로세스 내에서 실행됩니다.
이 사용자 계정에는 다음 액세스 제어 설정 이 필요합니다. - 로컬 IIS_WPG 멤버 자격, windows 2016 = IIS_IUSRS 그룹. - 로컬 관리자 그룹의 멤버 자격입니다 . - 보안 감사 생성 사용자에게 권한을 부여 했습니다 . - Act 사용자 권한이 운영 체제의 일부로 부여되었습니다. - 프로세스 수준 토큰 바꾸기 사용자에게 권한을 부여했습니다. - IIS 애플리케이션 풀 CLMAppPool의 ID로 할당됩니다. - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CLM\v1.0\Server\WebUser 레지스트리 키에 대한 읽기 권한이 부여되었습니다. - 이 계정은 위임에 대해서도 신뢰할 수 있어야 합니다. |
| MIMCMEnrollAgent | 사용자를 대신하여 등록을 수행합니다. 이 사용자 계정에는 다음 액세스 제어 설정 이 필요합니다. 사용자 저장소에 발급되고 설치된 등록 에이전트 인증서입니다. - 로컬 사용자 권한으로 로그온을 허용합니다 . - 등록 에이전트 인증서 템플릿(또는 사용자 지정 템플릿을 사용하는 경우)에 대한 사용 권한을 등록합니다. |
MIM CM 서비스 계정에 대한 인증서 템플릿 만들기
MIM CM에서 사용하는 서비스 계정 중 3개에는 인증서가 필요하며 구성 마법사에서는 인증서를 요청하는 데 사용해야 하는 인증서 템플릿의 이름을 제공해야 합니다.
인증서가 필요한 서비스 계정은 다음과 같습니다.
MIMCMAgent: 이 계정에는 사용자 인증서가 필요합니다.
MIMCMEnrollAgent: 이 계정에는 등록 에이전트 인증서가 필요합니다.
MIMCMKRAgent: 이 계정에는 키 복구 에이전트 인증서가 필요합니다.
AD에 이미 있는 템플릿이 있지만 MIM CM을 사용하려면 자체 버전을 만들어야 합니다. 원래 기준 템플릿에서 수정할 필요가 있으므로
위의 세 계정 모두 조직 내에서 상승된 권한을 가지며 신중하게 처리해야 합니다.
MIM CM 서명 인증서 템플릿 만들기
관리 도구에서 인증 기관을 엽니다.
인증 기관 콘솔의 콘솔 트리에서 Contoso-CorpCA를 확장한 다음 인증서 템플릿을 클릭합니다.
인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 관리를 클릭합니다.
인증서 템플릿 콘솔의 세부 정보 창에서 사용자를 선택하고 마우스 오른쪽 단추로 클릭한 다음 템플릿 복제를 클릭합니다.
템플릿 복제 대화 상자에서 Windows Server 2003 Enterprise를 선택한 다음 확인을 클릭합니다.
참고
MIM CM은 버전 3 인증서 템플릿을 기반으로 하는 인증서에서 작동하지 않습니다. Windows Server® 2003 Enterprise(버전 2) 인증서 템플릿을 만들어야 합니다. 자세한 내용은 V3 세부 정보를 참조하세요.
새 템플릿의 속성 대화 상자의 일반 탭에 있는 템플릿 표시 이름 상자에 MIM CM 서명을 입력합니다. 유효 기간을 2년으로 변경한 다음 Active Directory에서 인증서 게시 확인란의 선택을 취소합니다.
요청 처리 탭에서 프라이빗 키를 내보낼 수 있도록 허용 확인란이 선택되어 있는지 확인한 다음 암호화 탭을 클릭합니다.
암호화 선택 대화 상자에서 Microsoft 고급 암호화 공급자 v1.0을 사용하지 않도록 설정하고 Microsoft 고급 RSA 및 AES 암호화 공급자를 사용하도록 설정한 다음 확인을 클릭합니다.
제목 이름 탭에서 주체 이름 및 전자 메일 이름 확인란에 전자 메일 이름 포함 확인란의 선택을 취소 합니다.
확장 탭의 이 템플릿 목록에 포함된 확장에서 애플리케이션 정책이 선택되어 있는지 확인하고 편집을 클릭합니다.
애플리케이션 정책 확장 편집 대화 상자에서 파일 시스템 암호화와 보안 전자 메일 애플리케이션 정책을 모두 선택합니다. 제거, 확인을 차례로 클릭합니다.
보안 탭에서 다음 단계를 수행합니다.
관리자를 제거 합니다.
도메인 관리자를 제거 합니다.
도메인 사용자를 제거 합니다.
엔터프라이즈 관리자에게 읽기 및 쓰기 권한만 할당합니다.
MIMCMAgent를 추가 합니다.
MIMCMAgent에 읽기 및 등록 권한을 할당합니다.
새 템플릿의 속성 대화 상자에서 확인을 클릭합니다.
인증서 템플릿 콘솔을 열어 둡니다.
MIM CM 등록 에이전트 인증서 템플릿 만들기
인증서 템플릿 콘솔의 세부 정보 창에서 등록 에이전트를 선택하고 마우스 오른쪽 단추로 클릭한 다음 중복 템플릿을 클릭합니다.
템플릿 복제 대화 상자에서 Windows Server 2003 Enterprise를 선택한 다음 확인을 클릭합니다.
새 템플릿의 속성 대화 상자의 일반 탭에 있는 템플릿 표시 이름 상자에 MIM CM 등록 에이전트를 입력합니다. 유효 기간이 2년인지 확인합니다.
요청 처리 탭에서 프라이빗 키를 내보낼 수 있도록 허용한 다음 CSP 또는 암호화 탭을 클릭합니다.
CSP 선택 대화 상자에서 Microsoft 기본 암호화 공급자 v1.0을 사용하지 않도록 설정하고, Microsoft 고급 암호화 공급자 v1.0을 사용하지 않도록 설정하고, Microsoft 고급 RSA 및 AES 암호화 공급자를 사용하도록 설정한 다음 확인을 클릭합니다.
보안 탭에서 다음을 수행합니다.
관리자를 제거 합니다.
도메인 관리자를 제거 합니다.
엔터프라이즈 관리자에게 읽기 및 쓰기 권한만 할당합니다.
MIMCMEnrollAgent를 추가 합니다.
MIMCMEnrollAgent에 읽기 및 등록 권한을 할당합니다.
새 템플릿의 속성 대화 상자에서 확인을 클릭합니다.
인증서 템플릿 콘솔을 열어 둡니다.
MIM CM 키 복구 에이전트 인증서 템플릿 만들기
인증서 템플릿 콘솔의 세부 사항 창에서 키 복구 에이전트를 선택하고 마우스 오른쪽 버튼을 클릭한 다음, 템플릿 복제를 클릭합니다.
템플릿 복제 대화 상자에서 Windows Server 2003 Enterprise를 선택한 다음 확인을 클릭합니다.
새 템플릿의 속성 대화 상자의 일반 탭에 있는 템플릿 표시 이름 상자에 MIM CM 키 복구 에이전트를 입력합니다. 암호화 탭에서 유효 기간이2년인지 확인합니다.
공급자 선택 대화 상자에서 Microsoft 고급 암호화 공급자 v1.0을 사용하지 않도록 설정하고 Microsoft 고급 RSA 및 AES 암호화 공급자를 사용하도록 설정한 다음 확인을 클릭합니다.
발급 요구 사항 탭에서 CA 인증서 관리자 승인을 사용하지 않도록 설정해야 합니다.
보안 탭에서 다음을 수행합니다.
관리자를 제거 합니다.
도메인 관리자를 제거 합니다.
엔터프라이즈 관리자에게 읽기 및 쓰기 권한만 할당합니다.
MIMCMKRAgent를 추가합니다.
KRAgent에 읽기 및 등록 권한을 할당합니다.
새 템플릿의 속성 대화 상자에서 확인을 클릭합니다.
인증서 템플릿 콘솔을 닫습니다.
인증 기관에서 필요한 인증서 템플릿 게시
인증 기관 콘솔을 복원합니다 .
인증 기관 콘솔의 콘솔 트리에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 발급할 인증서 템플릿을 클릭합니다.
인증서 템플릿 사용 대화 상자에서 MIM CM 등록 에이전트, MIM CM 키 복구 에이전트 및 MIM CM 서명을 선택합니다. 확인을 클릭합니다.
콘솔 트리에서 인증서 템플릿을 클릭합니다.
세 개의 새 템플릿이 세부 정보 창에 표시되는지 확인한 다음 인증 기관을 닫습니다.
열려 있는 창을 모두 닫고 로그오프합니다.
IIS 구성
CM용 웹 사이트를 호스트하려면 IIS를 설치하고 구성합니다.
IIS 설치 및 구성
MIMINSTALL 계정으로 CORLog에 로그인
중요함
MIM 설치 계정은 로컬 관리자여야 합니다.
PowerShell을 열고 다음 명령을 실행합니다.
Install-WindowsFeature –ConfigurationFilePath
참고
기본 웹 사이트라는 사이트는 기본적으로 IIS 7과 함께 설치됩니다. 해당 사이트의 이름을 바꾸거나 제거한 경우 MIM CM을 설치하기 전에 기본 웹 사이트라는 이름을 가진 사이트를 사용할 수 있어야 합니다.
Kerberos 구성
MIMCMWebAgent 계정은 MIM CM 포털을 실행합니다. 기본적으로 IIS에서는 이후 버전에서도 커널 모드 인증이 사용됩니다. 대신 Kerberos 커널 모드 인증을 사용하지 않도록 설정하고 MIMCMWebAgent 계정에서 SPN을 구성합니다. 일부 명령에는 Active Directory 및 CORPCM 서버에서 상승된 권한이 필요합니다.
#Kerberos settings
#SPN
SETSPN -S http/cm.contoso.com contoso\MIMCMWebAgent
#Delegation for certificate authority
Get-ADUser CONTOSO\MIMCMWebAgent | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"="rpcss/CORPCA","rpcss/CORPCA.contoso.com"}
CORPCM에서 IIS 업데이트
add-pssnapin WebAdministration
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name enabled -Value $true
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useKernelMode -Value $false
Set-WebConfigurationProperty -Filter System.webServer/security/authentication/WindowsAuthentication -Location 'Default Web Site' -Name useAppPoolCredentials -Value $true
참고
"cm.contoso.com"에 대한 DNS A 레코드를 추가해야 하며, 이를 CORPCM IP로 설정해야 합니다.
MIM CM 포털에서 SSL 필요
MIM CM 포털에서 SSL을 요구하는 것이 좋습니다. 만약 그렇지 않으면, 마법사가 당신에게 경고할 것입니다.
기본 사이트에 할당할 cm.contoso.com 웹 인증서에 등록
IIS 관리자를 열고 인증서 관리로 이동합니다.
기능 보기에서 SSL 설정을 두 번 클릭합니다.
SSL 설정 페이지에서 SSL 필요를 선택합니다.
작업 창에서 적용을 클릭합니다 .
MIM CM용 데이터베이스 구성 CORPSQL
CORPSQL01 서버에 연결되어 있는지 확인합니다.
SQL DBA로 로그온했는지 확인합니다.
구성 단계로 이동하면 CONTOSO\MIMINSTALL 계정이 데이터베이스를 만들 수 있도록 다음 T-SQL 스크립트를 실행합니다.
참고
종료 및 정책 모듈에 대한 준비가 되면 SQL로 돌아와야 합니다.
create login [CONTOSO\\MIMINSTALL] from windows; exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'dbcreator'; exec sp_addsrvrolemember 'CONTOSO\\MIMINSTALL', 'securityadmin';
Microsoft Identity Manager 2016 인증서 관리 배포
CORPCM Server에 연결되어 있고 MIMINSTALL 계정이 로컬 관리자 그룹의 구성원 인지 확인합니다 .
Contoso\MIMINSTALL로 로그온되었는지 확인합니다.
Microsoft Identity Manager 2016 SP1 이상 서비스 팩 ISO를 탑재합니다.
인증서 관리\x64 디렉터리를 엽니다.
x64 창에서 설치 프로그램을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.
Microsoft Identity Manager 인증서 관리 설정 마법사 시작 페이지에서 다음을 클릭합니다 .
최종 사용자 사용권 계약 페이지에서 규약을 읽고 사용권 계약 확인란의 약관에 동의하도록 설정한 다음 다음을 클릭합니다.
사용자 지정 설정 페이지에서 MIM CM 포털 및 MIM CM 업데이트 서비스 구성 요소가 설치되도록 설정되어 있는지 확인하고 다음을 클릭합니다.
가상 웹 폴더 페이지에서 가상 폴더 이름이 CertificateManagement인지 확인하고 다음을 클릭합니다.
Microsoft Identity Manager 인증서 관리 설치 페이지에서 설치를 클릭합니다.
Microsoft Identity Manager 인증서 관리 설정 마법사 완료 페이지에서 마침을 클릭합니다.
Microsoft Identity Manager 2016 인증서 관리 구성 마법사
CORPCM에 로그인하기 전에 구성 마법사에 대한 도메인 관리자, 스키마 관리자 및 로컬 관리자 그룹에 MIMINSTALL을 추가하세요. 구성이 완료되면 나중에 제거할 수 있습니다.
시작 메뉴에서 인증서 관리 구성 마법사를 클릭합니다. 관리자 권한으로 실행
구성 마법사 시작 페이지에서 다음을 클릭합니다.
CA 구성 페이지에서 선택한 CA가 Contoso-CORPCA-CA인지 확인하고 선택한 서버가 CORPCA.CONTOSO.COM 있는지 확인하고 다음을 클릭합니다.
Microsoft SQL Server® 데이터베이스 설정
페이지의 SQL Server 이름 상자 에CORPSQL1 을 입력하고,내 자격 증명을 사용하여 데이터베이스 만들기 확인란을 사용하도록 설정한 다음,다음 을 클릭합니다.데이터베이스 설정 페이지에서 FIMCertificateManagement의 기본 데이터베이스 이름을 적용하고 SQL 통합 인증이 선택되어 있는지 확인하고 다음을 클릭합니다.
Active Directory 설정 페이지에서 서비스 연결 지점에 제공된 기본 이름을 그대로 적용하고 다음을 클릭합니다.
인증 방법 페이지에서 Windows 통합 인증이 선택되어 있는지 확인한 다음 다음을 클릭합니다.
에이전트 – FIM CM 페이지에서 FIM CM 기본 설정 사용 확인란의 선택을 취소한 다음 사용자 지정 계정을 클릭합니다.
에이전트 – FIM CM 다중 탭 대화 상자의 각 탭에서 다음 정보를 입력합니다.
사용자 이름: 업데이트
암호: Pass@word1
암호 확인: Pass@word1
기존 사용자 사용: 활성화됨
참고
이러한 계정은 이전에 만들었습니다. 8단계의 프로시저가 6개 에이전트 계정 탭 모두에 대해 반복되는지 확인합니다.
모든 에이전트 계정 정보가 완료되면 확인을 클릭합니다.
에이전트 – MIM CM 페이지에서 다음을 클릭합니다.
서버 인증서 설정 페이지에서 다음 인증서 템플릿을 사용하도록 설정합니다.
복구 에이전트 키 복구 에이전트 인증서에 사용할 인증서 템플릿: MIMCMKeyRecoveryAgent.
FIM CM 에이전트 인증서에 사용할 인증서 템플릿: MIMCMSigning.
등록 에이전트 인증서에 사용할 인증서 템플릿: FIMCMEnrollmentAgent.
서버 인증서 설정 페이지에서 다음을 클릭합니다.
설치 전자 메일 서버, 문서 인쇄 페이지의 전자 메일 등록 알림 상자에 사용할 SMTP 서버의 이름 지정 상자에서 다음을 클릭합니다.
구성 준비 페이지에서 구성을 클릭합니다.
구성 마법사 – Microsoft Forefront Identity Manager 2010 R2 경고 대화 상자에서 확인을 클릭하여 IIS 가상 디렉터리에서 SSL을 사용할 수 없음을 확인합니다.
참고
구성 마법사 실행이 완료될 때까지 마침 단추를 클릭하지 마세요. 마법사에 대한 로깅은 여기에서 찾을 수 있습니다: %programfiles%\Microsoft Forefront Identity Management\2010\Certificate Management\config.log
Finish를 클릭합니다.
열려 있는 창을 모두 닫습니다.
브라우저의 로컬 인트라넷 영역에
https://cm.contoso.com/certificatemanagement을 추가합니다.서버 CORPCM에서 사이트 방문
https://cm.contoso.com/certificatemanagement
CNG 키 격리 서비스를 검증하기
관리 도구에서 서비스를 엽니다.
세부 정보 창에서 CNG 키 격리를 두 번 클릭합니다.
일반 탭에서 시작 유형을 자동으로 변경합니다.
일반 탭에서 서비스가 시작 상태가 아닌 경우 서비스를 시작합니다.
일반 탭에서 확인을 클릭합니다.
CA 모듈 설치 및 구성:
이 단계에서는 인증 기관에 FIM CM CA 모듈을 설치하고 구성합니다.
관리 작업에 대한 사용자 권한만 검사하도록 FIM CM 구성
C:\Program Files\Microsoft Forefront Identity Manager\2010\Certificate Management\web 창에서, web.config의 복사본을 만들어 그 복사본의 이름을 web.1.config으로 지정합니다.
웹 창에서 Web.config를 마우스 오른쪽 단추로 클릭한 다음 열기를 클릭합니다.
참고
Web.config 파일이 메모장에서 열립니다.
파일이 열리면 Ctrl+F를 누릅니다.
찾기 및 바꾸기 대화 상자에서, 찾기 상자에 UseUser를 입력하고, 다음 찾기를 세 번 클릭합니다.
찾기 및 바꾸기 대화 상자를 닫습니다.
코드 줄 <add key="Clm.RequestSecurity.Flags" value="UseUser,UseGroups" />에 있어야 합니다. <줄을 "add key="Clm.RequestSecurity.Flags" value="UseUser" /"로 변경합니다>.
파일을 닫고 모든 변경 내용을 저장합니다.
SQL Server <스크립트 없음에서 CA 컴퓨터에 대한 계정 만들기>
CORPSQL01 서버에 연결되어 있는지 확인합니다.
DBA로 로그온되었는지 확인합니다.
시작 메뉴에서 SQL Server Management Studio를 시작합니다.
서버에 연결 대화 상자의 서버 이름 상자에 CORPSQL01 입력한 다음 연결을 클릭합니다.
콘솔 트리에서 보안을 확장한 다음 로그인을 클릭합니다.
로그인을 마우스 오른쪽 단추로 클릭한 후 새 로그인을 클릭합니다.
일반 페이지의 로그인 이름 상자에 contoso\CORPCA$를 입력합니다. Windows 인증을 선택합니다. 기본 데이터베이스는 FIMCertificateManagement입니다.
왼쪽 창에서 사용자 매핑을 선택합니다. 오른쪽 창의 Map 열에서 FIMCertificateManagement 옆에 있는 확인란을 클릭합니다. 데이터베이스 역할 멤버 자격: FIMCertificateManagement 목록에서 clmApp 역할을 사용하도록 설정합니다.
확인을 클릭합니다.
Microsoft SQL Server Management Studio를 닫습니다.
인증 기관에 FIM CM CA 모듈 설치
CORPCA 서버에 연결되어 있는지 확인합니다.
X64 창에서 Setup.exe를 마우스 오른쪽 버튼으로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.
Microsoft Identity Manager 인증서 관리 설정 마법사 시작 페이지에서 다음을 클릭합니다.
최종 사용자 사용권 계약 페이지에서 규약을 읽습니다. 사용권 계약 확인란에서 동의함 확인란을 선택하고 다음을 클릭합니다.
사용자 지정 설치 페이지에서 MIM CM 포털을 선택한 다음, '이 기능을 사용할 수 없음'을 클릭합니다.
사용자 지정 설치 페이지에서 MIM CM 업데이트 서비스를 선택하고이 기능을 사용할 수 없음 옵션을 클릭합니다.
참고
그러면 MIM CM CA 파일이 설치에 사용할 수 있는 유일한 기능으로 남게 됩니다.
사용자 지정 설정 페이지에서 다음을 클릭합니다.
Microsoft Identity Manager 인증서 관리 설치 페이지에서 설치를 클릭합니다.
Microsoft Identity Manager 인증서 관리 설정 마법사 완료 페이지에서 마침을 클릭합니다.
열려 있는 창을 모두 닫습니다.
MIM CM 종료 모듈 구성
관리 도구에서 인증 기관을 엽니다.
콘솔 트리에서 contoso-CORPCA-CA를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
종료 모듈 탭에서 FIM CM 종료 모듈을 선택하고 속성을 클릭합니다.
CM 데이터베이스 연결 문자열 지정 상자에 Connect Timeout=15; Persist Security Info=True; Integrated Security=sspi; Initial Catalog=FIMCertificateManagement; Data Source=CORPSQL01를 입력합니다. 연결 문자열 암호화 확인란을 사용하도록 설정한 상태로 두고 확인을 클릭합니다.
Microsoft FIM 인증서 관리 메시지 상자에서 확인을 클릭합니다.
contoso-CORPCA-CA 속성 대화 상자에서 확인을 클릭합니다.
contoso-CORPCA-CA를 마우스 오른쪽 버튼으로 클릭한 후, 모든 작업을 가리키고 서비스 중지를 클릭합니다. Active Directory 인증서 서비스가 중지될 때까지 기다립니다.
contoso-CORPCA-CA를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 서비스 시작을 클릭합니다.
인증 기관 콘솔을 최소화합니다 .
관리 도구에서 이벤트 뷰어 엽니다.
콘솔 트리에서 애플리케이션 및 서비스 로그를 확장한 다음 FIM 인증서 관리를 클릭합니다.
이벤트 목록에서 인증서 서비스의 마지막 다시 시작 이후 최신 이벤트에 경고 또는 오류 이벤트가 포함되지 않는지 확인합니다.
참고
마지막 이벤트는 다음에서 설정을 사용하여 로드된 Exit 모듈을 명시해야 합니다.
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ContosoRootCA\ExitModules\Clm.Exit이벤트 뷰어 최소화합니다.
MIMCMAgent 인증서의 지문을 Windows® 클립보드에 복사
인증 기관 콘솔을 복원합니다 .
콘솔 트리에서 contoso-CORPCA-CA를 확장한 다음 발급된 인증서를 클릭합니다.
세부 정보 창에서 요청자 이름 열의 CONTOSO\MIMCMAgent 인증서와 인증서 템플릿 열의 FIM CM 서명이 있는 인증서를 두 번 클릭합니다.
세부 정보 탭에서 지문 필드를 선택합니다.
지문을 선택한 다음 Ctrl+C를 누릅니다.
참고
지문 문자 목록에 선행 공백을 포함하지 마세요.
인증서 대화 상자에서 확인을 클릭합니다.
시작 메뉴의 검색 프로그램 및 파일 상자에 메모장을 입력한 다음 Enter 키를 누릅니다.
메모장에서 [편집]메뉴에서 [붙여넣기]를 클릭합니다.
편집 메뉴에서 바꾸기를 클릭합니다.
찾을 내용 상자에 공백 문자를 입력한 후 모두 바꾸기를 클릭합니다.
참고
그러면 지문에 있는 문자 사이의 모든 공백이 제거됩니다.
바꾸기 대화 상자에서 취소를 클릭합니다.
변환된 지문 문자열을 선택한 다음 Ctrl+C를 누릅니다.
변경 내용을 저장하지 않고 메모장을 닫습니다.
FIM CM 정책 모듈 구성
인증 기관 콘솔을 복원합니다 .
contoso-CORPCA-CA를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
contoso-CORPCA-CA 속성 대화 상자의 정책 모듈 탭에서 속성을 클릭합니다.
일반 탭에서 FIM이 아닌 CM 요청을 처리를 위한 기본 정책 모듈에 전달하는 것이 선택되어 있는지 확인합니다.
서명 인증서 탭에서 추가를 클릭합니다.
인증서 대화 상자에서 16진수 인코딩 인증서 해시 상자를 마우스 오른쪽 버튼으로 클릭한 다음, 붙여넣기를 클릭합니다.
인증서 대화 상자에서 확인을 클릭합니다.
참고
확인 단추를 사용할 수 없는 경우 clmAgent 인증서에서 지문을 복사할 때 실수로 숨겨진 문자를 지문 문자열에 포함시켰습니다. 작업 4부터 모든 단계를 반복합니다. 이 연습에서는 MIMCMAgent 인증서의 지문을 Windows 클립보드 에 복사합니다.
구성 속성 대화 상자에서 지문이 유효한 서명 인증서 목록에 표시되는지 확인하고 확인을 클릭합니다.
FIM 인증서 관리 메시지 상자에서 확인을 클릭합니다.
contoso-CORPCA-CA 속성 대화 상자에서 확인을 클릭합니다.
contoso-CORPCA-CA를 마우스 오른쪽 버튼으로 클릭한 후, 모든 작업을 가리키고 서비스 중지를 클릭합니다.
Active Directory 인증서 서비스가 중지될 때까지 기다립니다.
contoso-CORPCA-CA를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 서비스 시작을 클릭합니다.
인증 기관 콘솔을 닫습니다.
열려 있는 창을 모두 닫은 다음 로그오프합니다.
배포 의 마지막 단계는 CONTOSO\MIMCM-Manager가 스키마 및 도메인 관리자 없이 템플릿을 배포 및 만들고 시스템을 구성할 수 있도록 하는 것입니다. 다음 스크립트는 dsacls를 사용하여 인증서 템플릿에 대한 권한을 ACL합니다. 포리스트의 각 기존 인증서 템플릿에 대한 보안 읽기 및 쓰기 권한을 변경할 수 있는 모든 권한이 있는 계정으로 실행하세요.
첫 번째 단계: 서비스 연결 지점 및 대상 그룹 권한 구성 및 프로필 템플릿 관리 위임
SCP(서비스 연결 지점)에 대한 권한을 구성합니다.
위임된 프로필 템플릿 관리를 구성합니다.
SCP(서비스 연결 지점)에 대한 권한을 구성합니다. <스크립트 없음>
CORPDC 가상 서버에 연결되어 있는지 확인합니다.
contoso\corpadmin으로 로그온
관리 도구에서 Active Directory 사용자 및 컴퓨터 엽니다.
Active Directory 사용자 및 컴퓨터에서 보기 메뉴에서 고급 기능이 사용하도록 설정되어 있는지 확인합니다.
콘솔 트리에서 Contoso.com | System | Microsoft | Certificate Lifecycle Manager를 확장한 후 CORPCM을 클릭합니다.
CORPCM을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
CORPCM 속성 대화 상자의 보안 탭에서 해당 사용 권한이 있는 다음 그룹을 추가합니다.
그룹 사용 권한 mimcm-매니저들 FIM
CM 감사 읽기
FIM CM 등록 에이전트
FIM CM 요청 등록
FIM CM 요청 복구
FIM CM 요청 갱신
FIM CM 요청 해지
스마트 카드 차단 해제 요청mimcm-HelpDesk 읽기
FIM CM 등록 에이전트
FIM CM 요청 취소
FIM CM 스마트 카드 차단 해제 요청CORPDC 속성 대화 상자에서 확인을 클릭합니다.
Active Directory 사용자 및 컴퓨터 열어 둡니다.
하위 사용자 개체에 대한 권한 구성
Active Directory 사용자 및 컴퓨터 콘솔에 여전히 있는지 확인합니다.
콘솔 트리에서 Contoso.com을 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭합니다.
보안 탭에서 고급을 클릭합니다.
Contoso에 대한 고급 보안 설정 대화 상자에서 추가를 클릭합니다.
사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력 상자에 mimcm-Manager를 입력한 다음 확인을 클릭합니다.
Contoso에 대한 사용 권한 항목 대화 상자의 적용 대상 목록에서 하위 사용자 개체를 선택한 다음, 다음 사용 권한에 대해 허용 확인란을 선택합니다.
모든 속성 읽기
읽기 권한
FIM CM 감사
FIM CM 등록 에이전트
FIM CM 등록 요청
FIM CM 요청을 복구
FIM CM 요청 갱신
FIM CM 요청 해지
FIM CM의 스마트 카드 차단 해제 요청
Contoso에 대한 사용 권한 항목 대화 상자에서 확인을 클릭합니다.
Contoso에 대한 고급 보안 설정 대화 상자에서 추가를 클릭합니다.
사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력 상자에 mimcm-HelpDesk를 입력한 다음 확인을 클릭합니다.
Contoso에 대한 사용 권한 항목 대화 상자에서, 적용 대상 목록에서 하위 사용자 개체를 선택하고, 다음 사용 권한에 대해 허용 확인란을 선택합니다.
모든 속성 읽기
읽기 권한
FIM CM 등록 에이전트
FIM CM 요청 해지
FIM CM의 스마트 카드 차단 해제 요청
Contoso에 대한 사용 권한 항목 대화 상자에서 확인을 클릭합니다.
Contoso에 대한 고급 보안 설정 대화 상자에서 확인을 클릭합니다.
contoso.com 속성 대화 상자에서 확인을 클릭합니다.
Active Directory 사용자 및 컴퓨터 열어 둡니다.
스크립트가 없는 하위 사용자 개체 <에 대한 권한 구성>
Active Directory 사용자 및 컴퓨터 콘솔에 여전히 있는지 확인합니다.
콘솔 트리에서 Contoso.com을 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭합니다.
보안 탭에서 고급을 클릭합니다.
Contoso에 대한 고급 보안 설정 대화 상자에서 추가를 클릭합니다.
사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력 상자에 mimcm-Manager를 입력한 다음 확인을 클릭합니다.
CONTOSO에 대한 사용 권한 항목 대화 상자의 적용 대상 목록에서 하위 사용자 개체를 선택하고, 다음 사용 권한에 대해 허용 확인란을 사용하도록 설정합니다.
모든 속성 읽기
읽기 권한
FIM CM 감사
FIM CM 등록 에이전트
FIM CM 등록 요청
FIM CM 요청 복구
FIM CM 요청 갱신
FIM CM 요청 해지
FIM CM의 스마트 카드 차단 해제 요청
CONTOSO에 대한 사용 권한 항목 대화 상자에서 확인을 클릭합니다.
CONTOSO에 대한 고급 보안 설정 대화 상자에서 추가를 클릭합니다.
사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력 상자에 mimcm-HelpDesk를 입력한 다음 확인을 클릭합니다.
CONTOSO에 대한 사용 권한 항목 대화 상자의 적용 대상 목록에서 하위 사용자 개체를 선택하고, 다음 사용 권한에 대한 허용 확인란을 선택합니다.
모든 속성 읽기
읽기 권한
FIM CM 등록 에이전트
FIM CM 요청 해지
FIM CM의 스마트 카드 차단 해제 요청
contoso에 대한 사용 권한 항목 대화 상자에서 확인을 클릭합니다.
Contoso에 대한 고급 보안 설정 대화 상자에서 확인을 클릭합니다.
contoso.com 속성 대화 상자에서 확인을 클릭합니다.
Active Directory 사용자 및 컴퓨터 열어 둡니다.
두 번째 단계: 인증서 템플릿 관리 권한 <스크립트 위임>
인증서 템플릿 컨테이너에 대한 권한 위임
OID 컨테이너에 대한 권한 위임
기존 인증서 템플릿에 대한 권한 위임
인증서 템플릿 컨테이너에 대한 사용 권한을 정의합니다.
Active Directory 사이트 및 서비스 콘솔을 복원합니다.
콘솔 트리에서 서비스를 확장하고 공개 키 서비스를 확장한 다음 인증서 템플릿을 클릭합니다.
콘솔 트리에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 대리자 컨트롤을 클릭합니다.
제어 위임 마법사에서 다음을 클릭합니다.
사용자 또는 그룹 페이지에서 추가를 클릭합니다.
사용자, 컴퓨터 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력 상자에 mimcm-Manager를 입력한 다음 확인을 클릭합니다.
사용자 또는 그룹 페이지에서 다음을 클릭합니다.
위임할 작업 페이지에서 위임할 사용자 지정 작업 만들기를 클릭한 다음 다음을 클릭합니다.
Active Directory 개체 유형 페이지에서 이 폴더, 이 폴더의 기존 개체 및 이 폴더의 새 개체 만들기가 선택되어 있는지 확인하고 다음을 클릭합니다.
사용 권한 페이지의 사용 권한 목록에서 모든 권한 확인란을 선택하고 다음을 클릭합니다.
제어 위임 마법사 완료 페이지에서 마침을 클릭합니다.
OID 컨테이너에 대한 사용 권한을 정의합니다.
콘솔 트리에서 OID를 마우스 오른쪽 단추로 클릭한 다음, 속성을 클릭합니다.
OID 속성 대화 상자의 보안 탭에서 고급을 클릭합니다.
OID에 대한 고급 보안 설정 대화 상자에서 추가를 클릭합니다.
사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자의 선택할 개체 이름 입력 상자에 mimcm-Manager를 입력한 다음 확인을 클릭합니다.
OID에 대한 사용 권한 항목 대화 상자에서 이 개체 및 모든 하위 개체에 사용 권한이 적용되는지 확인하고 모든 권한을 클릭한 다음 확인을 클릭합니다.
OID에 대한 고급 보안 설정 대화 상자에서 확인을 클릭합니다.
OID 속성 대화 상자에서 확인을 클릭합니다.
Active Directory 사이트 및 서비스를 닫 습니다.
스크립트: OID, 프로필 템플릿 및 인증서 템플릿 컨테이너에 대한 권한
import-module activedirectory
$adace = @{
"OID" = "AD:\\CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"CT" = "AD:\\CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com";
"PT" = "AD:\\CN=Profile Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=contoso,DC=com"
}
$adace.GetEnumerator() | **Foreach-Object** {
$acl = **Get-Acl** *-Path* $_.Value
$sid=(**Get-ADGroup** "MIMCM-Managers").SID
$p = **New-Object** System.Security.Principal.SecurityIdentifier($sid)
##https://msdn.microsoft.com/library/system.directoryservices.activedirectorysecurityinheritance(v=vs.110).aspx
$ace = **New-Object** System.DirectoryServices.ActiveDirectoryAccessRule
($p,[System.DirectoryServices.ActiveDirectoryRights]"GenericAll",[System.Security.AccessControl.AccessControlType]::Allow,
[DirectoryServices.ActiveDirectorySecurityInheritance]::All)
$acl.AddAccessRule($ace)
**Set-Acl** *-Path* $_.Value *-AclObject* $acl
}
스크립트: 기존 인증서 템플릿에 대한 권한 위임
dsacls "CN=Administrator,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CAExchange,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CEPEncryption,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ClientAuth,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CodeSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CrossCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=CTLSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DomainController,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EFS,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EFSRecovery,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=EnrollmentAgentOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ExchangeUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=ExchangeUserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=FIMCMKeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=IPSecIntermediateOffline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=IPSecIntermediateOnline,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=KeyRecoveryAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=Machine,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=MachineEnrollmentAgent,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=OCSPResponseSigning,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=OfflineRouter,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=RASAndIASServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SmartCardLogon,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SmartCardUser,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=SubCA,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=User,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=UserSignature,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=WebServer,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO
dsacls "CN=Workstation,CN=Certificate Templates,CN=Public Key
Services,CN=Services,CN=Configuration,DC=Contoso,DC=com" /G
Contoso\\MIMCM-Managers:SDDTRCWDWOLCWPRPCCDCWSLO