共用方式為

設定憑證註冊原則 Web 服務

憑證註冊原則 Web 服務可讓用戶和計算機取得憑證註冊原則資訊,即使計算機不是網域的成員,或加入網域的計算機暫時不在公司網路的安全性界限之外也一樣。 憑證註冊原則 Web 服務可與憑證註冊 Web 服務搭配運作,為這些用戶和計算機提供以原則為基礎的自動憑證註冊。 本文提供如何設定憑證註冊原則 Web 服務的相關信息。

先決條件

  • 已安裝憑證註冊原則 Web 服務伺服器角色。

設定憑證註冊原則 Web 服務

安裝憑證註冊原則 Web 服務之後,您必須設定 服務的易記名稱值,並 建立組策略設定以使用服務啟用。 下列各節說明如何完成設定。

設置易記名稱值

若要設定憑證註冊原則 Web 服務的易記名稱值:

  1. 開啟 Internet Information Services (IIS) 管理員控制台。

  2. 在 [ 連線] 窗格中,展開裝載憑證註冊原則 Web 服務的 Web 伺服器。

    備註

    如果您看到提示要求您開始使用 Microsoft Web 平臺,請選取 [否]。

  3. 前往 網站>默認網站。 選取適當的安裝虛擬應用程式名稱。 虛擬應用程式名稱的名稱會根據您安裝服務的方式而變更,但應該遵循 KeyBasedRenewal_ADPolicyProvider_CEP_AuthenticationType的基本語法。

    • 如果您已啟用金鑰型更新並設定客戶端憑證驗證,虛擬應用程式名稱應該 KeyBasedRenewal_ADPolicyProvider_CEP_Certificate

    • 如果您未啟用金鑰型續訂並設定使用者名稱和密碼驗證,則虛擬應用程式的名稱為 ADPolicyProvider_CEP_UsernamePassword

    • 如果您未啟用金鑰型重新啟用,但已設定 Windows 整合式驗證,虛擬應用程式名稱為 ADPolicyProvider_CEP_Kerberos

  4. 虛擬應用程式名稱 [首頁] 窗格中,開啟 [ 應用程式設定],然後開啟 [FriendlyName]。

  5. 在 [ 編輯應用程式設定 ] 對話方塊的 [ ] 底下,輸入您想要作為服務易記名稱的名稱。

  6. 請選擇 [確定]

  7. 在 [ 應用程式設定] 窗格中,開啟 [URI]。 將此值記錄到您可以稍後存取的地方,因為組策略要求 URI 讓用戶端連線到服務。

  8. 選取 取消

  9. 關閉 IIS 管理員主控台。

您可以使用先前指示取得的 URI,讓網域用戶端使用者或其計算機能夠使用憑證註冊原則 Web 服務取得憑證。 網域用戶端可以使用憑證控制台來要求憑證,而不需要用戶端知道憑證註冊原則 Web 服務虛擬應用程式名稱的 URI。

備註

網域使用者可以藉由設定自定義憑證要求來輸入 URI,但這通常不是實際的解決方案,因為 URI 很長,而且程式很複雜。 不過,系統管理員可以執行自定義憑證要求,以驗證憑證註冊原則 Web 服務的設定。 如需詳細資訊,請參閱 憑證註冊 Web 服務

設定群組原則以啟用使用憑證註冊原則「Web」服務

若要設定群組原則來啟用使用憑證註冊原則網頁服務:

  1. 移至 [伺服器管理員>工具>] [組策略管理 ] 以開啟組策略管理控制台。

    備註

    如果您已使用屬於 Domain Admins 或 Enterprise Admins 群組成員的帳戶登入,則只能設定組策略設定。

  2. 流覽至您要針對新組策略設定目標的樹系,然後移至 [ 網域]。

  3. 以滑鼠右鍵按兩下網域,然後選取 [在此網域中建立 GPO],並將它連結在這裡

  4. 在 [ 新增 GPO] 對話方塊的 [ 名稱] 底下,輸入新組策略物件 (GPO) 的適當名稱,例如 憑證註冊原則 Web 服務憑證。 請選擇 [確定]

  5. 選取您剛才建立的連結 GPO。 如果您看到組策略管理主控台的相關警告訊息,請檢閱訊息,然後選取 [ 確定]。

  6. 以滑鼠右鍵按下您剛才建立的連結 GPO,然後選取 [ 編輯]。

  7. 您可以使用 GPO 來散發兩種類型的憑證:計算機憑證或用戶憑證。 下列指示說明如何設定 GPO 中 電腦設定使用者設定 部分的 URI。 您可以個別設定它們,也可以同時設定兩者。

發放電腦憑證:

  1. 在控制檯窗格中的 [ 計算機設定] 底下 ,選取 [>原則][Windows 設定>安全性設定>公鑰原則]。

  2. 在 [ 詳細數據] 窗格中,開啟 [憑證服務用戶端 - 憑證註冊原則]。

  3. [組態模型 ] 設定為 [已啟用],然後選取 [ 新增]。

  4. 在 [ 憑證註冊原則伺服器 ] 對話方塊的 [ 輸入註冊原則伺服器 URI] 下,輸入您在上一個程式中複製的 URI。

  5. [驗證類型] 中,設定您為憑證註冊 Web 原則服務設定的驗證類型。 如需詳細資訊,請參閱憑證 註冊原則 Web 服務概觀 ,以選擇驗證類型。

  6. 選取 [驗證伺服器],並在驗證伺服器時選取 [新增]。 請選擇 [確定]

    備註

    如果您擁有適當的認證,您只能驗證伺服器。 如果您已選取客戶端憑證驗證,而且計算機還沒有憑證,這可能是個問題。 如果是這種情況,您必須先取得計算機的憑證。 您需要具有下列特性的計算機憑證:增強密鑰使用方式客戶端驗證 1.3.6.1.5.5.7.3.2。

  7. 若要散發使用者的憑證,請在 [控制台] 窗格中的 [用戶設定] 底下,選取> [原則][Windows 設定>安全性設定>公鑰原則]。

    1. 在 [ 詳細數據] 窗格中,開啟 [憑證服務用戶端 - 憑證註冊原則]。

    2. [組態模型 ] 設定為 [已啟用],然後選取 [ 新增]。

    3. 在 [ 憑證註冊原則伺服器 ] 對話方塊的 [ 輸入註冊原則伺服器 URI] 下,輸入您在上一個程式中複製的 URI。

    4. [驗證類型] 中,設定您為憑證註冊 Web 原則服務設定的驗證類型。

    5. 選取 [驗證伺服器],然後等候驗證程式完成。 驗證完成後,請選取 [ 新增],然後選取 [ 確定]。

      備註

      如果您擁有適當的認證,您只能驗證伺服器。 如果您使用用戶端憑證驗證來安裝服務,而且您還沒有計算機的憑證,則您必須先取得計算機的憑證,才能驗證伺服器。 您需要具有增強金鑰使用方式客戶端驗證 1.3.6.1.5.5.7.3.2 的電腦憑證。

  8. 關閉組策略管理編輯器和組策略管理控制台。

相關內容