Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa sieci Web zasad rejestracji certyfikatów umożliwia użytkownikom i komputerom uzyskiwanie informacji o zasadach rejestracji certyfikatów nawet wtedy, gdy komputer nie jest członkiem domeny lub jeśli komputer przyłączony do domeny jest tymczasowo poza granicą zabezpieczeń sieci firmowej. Usługa sieci Web zasad rejestracji certyfikatów współpracuje z usługą sieci Web rejestracji certyfikatów w celu zapewnienia automatycznej rejestracji certyfikatów opartych na zasadach dla tych użytkowników i komputerów. Ten artykuł zawiera informacje dotyczące konfigurowania usługi sieci Web zasad rejestracji certyfikatów.
Wymagania wstępne
- Zainstalowano rolę serwera usługi sieci Web zasad rejestracji certyfikatów.
Konfigurowanie usługi sieci Web zasad rejestracji certyfikatów
Po zainstalowaniu usługi sieci Web zasad rejestracji certyfikatów należy skonfigurować przyjazną wartość nazwy dla usługi i utworzyć ustawienie zasad grupy, aby włączyć korzystanie z usługi. W poniższych sekcjach opisano sposób ukończenia konfiguracji.
Konfigurowanie przyjaznej wartości nazwy
Aby skonfigurować przyjazną wartość nazwy dla usługi sieci Web zasad rejestracji certyfikatów:
Otwórz konsolę Menedżera usług Internet Information Services (IIS).
W okienku Połączenia rozwiń serwer internetowy hostujący usługę sieci Web zasad rejestracji certyfikatów.
Uwaga
Jeśli zostanie wyświetlony monit z prośbą o rozpoczęcie pracy z platformą internetową firmy Microsoft, wybierz pozycję Nie.
Przejdź dodomyślnej witryny sieci Web.> Wybierz odpowiednią nazwę aplikacji wirtualnej instalacji. Nazwa aplikacji wirtualnej zmienia się na podstawie sposobu instalacji usługi, ale powinna postępować zgodnie z podstawową składnią keyBasedRenewal_ADPolicyProvider__AuthenticationType.
Jeśli włączono odnawianie oparte na kluczach i skonfigurowano uwierzytelnianie certyfikatu klienta, nazwa aplikacji wirtualnej powinna być KeyBasedRenewal_ADPolicyProvider__Certificate.
Jeśli nie włączono odnawiania opartego na kluczach i skonfigurowanego uwierzytelniania nazwy użytkownika i hasła, nazwa aplikacji wirtualnej jest ADPolicyProvider__UsernamePassword.
Jeśli nie włączono renuwal opartego na kluczach, ale skonfigurowano zintegrowane uwierzytelnianie systemu Windows, nazwa aplikacji wirtualnej jest ADPolicyProvider__Kerberos.
W okienku Nazwa główna aplikacji wirtualnej otwórz pozycję Ustawienia aplikacji, a następnie otwórz plik FriendlyName.
W oknie dialogowym Edytowanie ustawienia aplikacji w obszarze Wartość wprowadź nazwę, której chcesz użyć jako przyjaznej nazwy usługi.
Kliknij przycisk OK.
W okienku Ustawienia aplikacji otwórz URI. Zapisz tę wartość w dowolnym miejscu, do którego można uzyskać dostęp później, ponieważ zasady grupy wymagają identyfikatora URI, aby umożliwić klientom nawiązywanie połączenia z usługą.
Wybierz pozycję Anuluj.
Zamknij konsolę Menedżera usług IIS.
Możesz użyć identyfikatora URI, który został uzyskany z poprzednich wskazówek, aby umożliwić użytkownikom klienta domeny lub ich komputerom uzyskiwanie certyfikatów przy użyciu usług sieci Web zasad rejestracji certyfikatów. Klienci domeny mogą żądać certyfikatów przy użyciu konsoli Certyfikaty, bez potrzeby znajomości URI nazwy wirtualnej aplikacji usług sieci Web zasad rejestracji certyfikatów.
Uwaga
Użytkownicy domeny mogą wprowadzić identyfikator URI, konfigurując niestandardowe żądanie certyfikatu, ale zazwyczaj nie jest to praktyczne rozwiązanie, ponieważ identyfikator URI jest długi, a procedura jest złożona. Jednak administratorzy mogą wykonywać niestandardowe żądania certyfikatów w celu zweryfikowania konfiguracji usługi sieci Web zasad rejestracji certyfikatów. Aby uzyskać więcej informacji, zapoznaj się z Usługami sieci Web rejestracji certyfikatów.
Skonfiguruj zasady grupy, aby umożliwić korzystanie z usługi sieci Web zasad rejestracji certyfikatów.
Aby skonfigurować zasady grupy do włączenia korzystania z sieciowej usługi zasad rejestracji certyfikatów:
Przejdź do Menedżer serwera>Narzędzia>Zarządzanie zasadami grupy, aby otworzyć konsolę zarządzania zasadami grupy.
Uwaga
Ustawienia zasad grupy można skonfigurować tylko po zalogowaniu się przy użyciu konta, które jest członkiem grup Administratorzy domeny lub Administratorzy przedsiębiorstwa.
Przejdź do lasu docelowego dla nowej zasady grupowej, a następnie przejdź do Domeny.
Kliknij prawym przyciskiem myszy domenę, a następnie wybierz Utwórz obiekt zasad grupy w tej domenie i powiąż go tutaj.
W oknie dialogowym Nowy GPO, w obszarze Nazwa, wprowadź odpowiednią nazwę dla nowego obiektu zasad grupy (GPO), taką jak Certyfikaty usługi sieci Web polityki rejestracji certyfikatów. Kliknij przycisk OK.
Wybierz połączony obiekt zasad grupy, który właśnie utworzyłeś. Jeśli zostanie wyświetlony komunikat ostrzegawczy dotyczący konsoli zarządzania zasadami grupy, przejrzyj komunikat, a następnie wybierz przycisk OK.
Kliknij prawym przyciskiem myszy połączone GPO, które właśnie utworzyłeś, a następnie wybierz polecenie Edytuj.
Istnieją dwa typy certyfikatów, które można rozpowszechniać za pomocą obiektu zasad grupy: certyfikaty komputera lub certyfikaty użytkownika. W poniższych instrukcjach opisano ustawianie identyfikatora URI dla części Konfiguracja komputera i Konfiguracja użytkownika obiektu zasad grupy. Można je ustawić oddzielnie lub ustawić oba w tym samym czasie.
Aby dystrybuować certyfikaty dla komputerów:
W okienku konsoli w obszarze Konfiguracja komputera wybierz pozycję Zasady>Ustawienia systemu Windows>Ustawienia zabezpieczeń>Zasady klucza publicznego.
W okienku Szczegóły otwórz pozycję Klient usług certyfikatów — zasady rejestracji certyfikatów.
Ustaw pozycję Model konfiguracji na wartość Włączone, a następnie wybierz pozycję Dodaj.
W oknie dialogowym Serwer zasad rejestracji certyfikatów w obszarze Wprowadź identyfikator URI serwera zasad rejestracji wprowadź identyfikator URI skopiowany w poprzedniej procedurze.
W Typ uwierzytelniania ustaw typ uwierzytelniania, który skonfigurowano dla usługi wytycznych sieciowych rejestracji certyfikatów. Aby uzyskać więcej informacji, zobacz Omówienie usługi sieci Web zasad rejestracji certyfikatów podczas wybierania typu uwierzytelniania.
Wybierz pozycję Weryfikuj serwer, a po zweryfikowaniu serwera wybierz pozycję Dodaj. Kliknij przycisk OK.
Uwaga
Możesz zweryfikować serwer tylko wtedy, gdy masz odpowiednie poświadczenia. Może to być problem, jeśli wybrano weryfikację certyfikatu klienta i nie masz jeszcze certyfikatu dla komputera. W takim przypadku należy najpierw uzyskać certyfikat dla komputera. Potrzebny będzie certyfikat komputera o następujących cechach: Rozszerzone użycie klucza Uwierzytelnianie klienta 1.3.6.1.5.5.7.3.2.
Aby dystrybuować certyfikaty dla użytkowników, w okienku Konsola w obszarze Konfiguracja użytkownika wybierz Zasady>Ustawienia systemu Windows>Ustawienia zabezpieczeń>Zasady klucza publicznego.
W okienku Szczegóły otwórz pozycję Klient usług certyfikatów — zasady rejestracji certyfikatów.
Ustaw pozycję Model konfiguracji na wartość Włączone, a następnie wybierz pozycję Dodaj.
W oknie dialogowym Serwer zasad rejestracji certyfikatów w obszarze Wprowadź identyfikator URI serwera zasad rejestracji wprowadź identyfikator URI skopiowany w poprzedniej procedurze.
W polu Typu uwierzytelniania ustaw typ uwierzytelniania skonfigurowany dla usługi zasad rejestracji certyfikatów w sieci Web.
Wybierz pozycję Weryfikuj serwer, a następnie poczekaj na zakończenie procesu weryfikacji. Po zakończeniu walidacji wybierz pozycję Dodaj, a następnie wybierz przycisk OK.
Uwaga
Możesz zweryfikować serwer tylko wtedy, gdy masz odpowiednie poświadczenia. Jeśli usługa została zainstalowana z weryfikacją certyfikatu klienta i nie masz jeszcze certyfikatu dla komputera, przed zweryfikowaniem serwera należy uzyskać certyfikat dla komputera. Potrzebujesz certyfikatu komputera z rozszerzonym uwierzytelnianiem klienta użycia klucza 1.3.6.1.5.5.7.3.2.
Zamknij Edytor zarządzania zasadami grupy i konsolę zarządzania zasadami grupy.