配置证书自动注册

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

注意

在执行此过程之前，必须在运行 AD CS 的 CA 上使用证书模板 Microsoft 管理控制台管理单元配置服务器证书模板。 企业管理员和根域的域管理员组中的成员身份都是完成此过程所需的最低要求。

配置服务器证书自动注册

1. 在安装了 AD DS 的计算机上，打开 Windows PowerShell®，键入“mmc”，然后按 Enter。 将打开 Microsoft 管理控制台。

2. 在“文件” 菜单上，单击“添加/删除管理单元” 。 此时将打开“添加或删除管理单元”对话框。

3. 在“可用管理单元”中，向下滚动到“组策略管理编辑器”并双击它。 “选择组策略对象”对话框打开。

   重要

   确保选择“组策略管理编辑器”，而不是“组策略管理”。 如果选择“组策略管理”，则使用这些说明的配置将失败，并且服务器证书不会自动注册到 NPS。

4. 在“组策略对象”中单击“浏览”。 此时会打开“浏览组策略对象”对话框。

5. 在“域、OU 和链接组策略对象”中，单击“默认域策略”，然后单击“确定”。

6. 单击“完成”，然后单击“确定”。

7. 双击“默认域策略”。 在控制台中，展开以下路径：“计算机配置”、“策略”“Windows 设置”、“安全设置”，然后是“公钥策略”。

8. 单击“公钥策略”。 在细节窗格中，双击“证书服务客户端 - 自动注册”。 此时将打开“ 属性”对话框。 配置以下项，然后单击“确定”：

   1. 在“配置模型”中，选择“已启用”。
   2. 选中“续订过期证书、更新未决证书并删除吊销的证书”复选框。
   3. 选中更新使用证书模板的证书复选框。

9. 单击“确定”。

配置用户证书自动注册

1. 在安装了 AD DS 的计算机上，打开 Windows PowerShell®，键入“mmc”，然后按 Enter。 将打开 Microsoft 管理控制台。

2. 在“文件” 菜单上，单击“添加/删除管理单元” 。 此时将打开“添加或删除管理单元”对话框。

3. 在“可用管理单元”中，向下滚动到“组策略管理编辑器”并双击它。 “选择组策略对象”对话框打开。

   重要

   确保选择“组策略管理编辑器”，而不是“组策略管理”。 如果选择“组策略管理”，则使用这些说明的配置将失败，并且服务器证书不会自动注册到 NPS。

4. 在“组策略对象”中单击“浏览”。 此时会打开“浏览组策略对象”对话框。

5. 在“域、OU 和链接组策略对象”中，单击“默认域策略”，然后单击“确定”。

6. 单击“完成”，然后单击“确定”。

7. 双击“默认域策略”。 在控制台中，展开以下路径：“用户配置”、“策略”、“Windows 设置”、“安全设置”。

8. 单击“公钥策略”。 在细节窗格中，双击“证书服务客户端 - 自动注册”。 此时将打开“ 属性”对话框。 配置以下项，然后单击“确定”：

   1. 在“配置模型”中，选择“已启用”。
   2. 选中“续订过期证书、更新未决证书并删除吊销的证书”复选框。
   3. 选中更新使用证书模板的证书复选框。

9. 单击“确定”。

后续步骤

刷新组策略