Microsoft® Windows® Server 2003 Enterprise Edition 中引入了為使用者和計算機自動注冊證書(包括基于智能卡的證書)的功能。
使用自動注冊功能,機關能夠對使用者證書的生命周期進行管理,包括:
證書續訂
證書的取代
多個簽名要求
證書自動注冊基于組政策設定和版本 2 證書模闆的組合。這種組合使 Windows XP Professional 或 Windows Server 2003 用戶端可以在使用者登入到他們的域時注冊使用者,或在計算機啟動時注冊該計算機,并使使用者和計算機在這些事件之間定期更新。
自動注冊使用者證書提供了一種快捷簡單的方式,用以向使用者頒發證書和在 Active Directory® 目錄服務環境中啟用公鑰基礎結構 (PKI) 應用程式,諸如智能卡登入、加密檔案系統 (EFS)、安全套接字層 (SSL)、安全/多用途 Internet 郵件擴充 (S/MIME) 等等。當 Windows XP Professional 用戶端被配置為使用 Active Directory 時,使用者自動注冊可将标準 PKI 部署的高昂成本降到最低,并減少 PKI 實作的總擁有成本 (TCO)。
重要說明 計算機證書不支援使用者互動,不要将它配置為要求此設定。
提示框 UI 等待使用者看到提示框,并通過滑鼠單擊被激活。注意大約 15 秒後,系統工作列中的提示框彈出式視窗将被證書圖示(可通過滑鼠單擊激活)取代。
如果在 7 小時内沒有發生激活,工作列圖示将消失,并且在下次登入時、計算機重新啟動時或者按照組政策重新整理間隔(以先發生的為準),靜止線程将重新激活。
使用者激活了此 UI 後,系統先檢查 REQUEST 存儲中是否有挂起的請求。
網絡結構
Server
WS03R2
x2
WS2K
X1
Client
WinXP SP2
x1
要點
必須先在 Active Directory 中建立版本 2 證書模闆後才能啟用自動注冊。
Image001
Start Windows Server 2003
螢幕剪輯的捕獲時間: 2007-1-21, 14:24
螢幕剪輯的捕獲時間: 2007-1-21, 14:10
證書模闆權限
使用者或計算機要想注冊證書模闆,必須在 Active Directory 中的模闆上設定适當的權限 (ACE)。使用者或計算機必須同時具有“注冊”和“讀取”權限才能注冊標明的證書模闆。
“讀取”權限,此權限允許使用者發現模闆。
“注冊”權限,當使用者申請標明模闆的證書時,企業 CA 強制執行此權限。企業 CA 還必須具有模闆的“讀取”權限,才能在目錄中枚舉該模闆和頒發基于該模闆的證書。企業 CA 通常包含在“經過身份驗證的使用者”組中,預設情況下該組具有模闆的“讀取”權限。
“完全控制”權限,預設情況下,在安裝全新的 Windows Server 2003 域時賦予企業管理者和主域管理者組此權限。如果域已從 Windows 2000 更新,則預設情況下,企業管理者不具有此權限。“完全控制”權限允許使用者設定或修改標明模闆的權限。
“自動注冊”權限,當使用者或計算機最好自動注冊標明的證書模闆時,将在模闆上設定此權限。使用者要想注冊給定的證書模闆,除了需要“注冊”權限外,還需要“自動注冊”權限。隻有版本 2 模闆或新建立的模闆可以設定自動注冊 ACE。
“寫入”權限,此權限允許使用者×××模闆的内容。注意隻能修改具有 Windows Server 2003 架構的版本 2 證書。版本 1 證書模闆隻允許修改 ACL。