用組策略實現使用者證書的自動註冊申請:ISA2006系列之二十八推薦

技術小甜發表於2017-11-09
用組策略實現使用者證書的自動註冊申請
在前面的博文中,我們已經在郵件加密,安全Web站點,TLS通訊,智慧卡等諸多的應用領域中接觸到了證書,證書在安全領域的重要性已是不言而喻。如果我們在內網搭建了CA伺服器,使用者應該如何獲取證書呢?使用者申請證書一般有兩種方式,如下圖所示,使用者既可以通過MMC控制檯也可以利用瀏覽器進行證書的註冊申請。但這兩種證書申請方式對普通使用者來說都有一定的技術難度,如果管理員代為使用者申請證書,在使用者眾多的環境下又不太現實。那我們在大型企業中應該如何處理使用者證書的註冊申請呢?
 



我們可以通過組策略結合
CA伺服器來完成證書的自動註冊申請,利用這種方式,我們可以對整個域的使用者或某個組織的使用者,只要使用者在開機後以域使用者身份登入,就可以自動完成證書的註冊申請。怎麼樣,聽起來是否很不錯?下面我們通過一個實驗來說明如何實現這個構想,拓撲如下圖所示,Florence是域控制器和CA伺服器,PerthIstanbul是使用者User1User2使用的工作站。
 
 建立企業根CA
要實現使用者證書的自動註冊,需要有企業級CA的支援,因為只有這種型別的CA伺服器才能和組策略結合使用。由於我們建立的CA伺服器是域中的第一個證書伺服器,因此伺服器型別應該選擇企業根。
在域控制器Florence上開啟控制皮膚-新增或刪除程式-新增/或刪除Windows元件,如下圖所示,勾選“證書服務”。
 
證書伺服器的型別應該選擇“企業根CA”。
 
CA命名為ITETCA,有效期限5年。
 
證書資料庫的儲存路徑取預設值即可。
 
如下圖所示,我們成功地完成了企業根CA的安裝,結束了實驗的第一步。
 
 建立證書模板
有了CA伺服器,我們接下來要建立一個支援使用者自動註冊的證書模板。具體步驟如下,我們在Florence上執行MMC,新增“證書模板”管理單元。如下圖所示,右鍵點選“使用者”模板,選擇“複製模板”。之所以選擇複製出一個新模板,而不是直接在使用者模板上進行操作,是因為不希望影響其他應用程式對使用者模板的使用。
 
如下圖所示,在複製出的新模板的常規標籤處,我們為此模板命名為“使用者自動註冊模板”,注意,模板名稱一旦確定就無法更改。同時確保勾選“在Active Directory中頒發證書”。
 
切換到證書模板的“處理請求”標籤,如下圖所示,確保選擇“註冊證書使用者時無需使用者輸入”。
 
切換到證書模板的“安全”標籤,我們在此可以分配證書模板的許可權,如果我們希望哪些使用者可以利用這個證書模板進行證書的自動註冊,一定要為這些使用者賦予“讀取”,“註冊”和“自動註冊”的許可權。在本次實驗中,我們希望域內所有的使用者都可以實現證書的自動註冊,因此如下圖所示,我們為Domain Users組的成員賦予了上述三項許可權。
 
 使用自動註冊的證書模板
建立了支援自動註冊的證書模板,我們就要在證書伺服器中使用這種證書模板。在Florence的管理工具中開啟“證書頒發機構”,如下圖所示,右鍵點選證書模板,選擇新建“要頒發的證書模板”。
 
選擇我們新建立的“使用者自動註冊模板”。
 
如下圖所示,現在證書伺服器已經使用了支援使用者自動註冊的證書模板,證書伺服器已經可以支援使用者自動進行證書的註冊申請了。
 
 配置組策略
證書伺服器已經可以支援使用者證書的自動註冊申請,接下來我們需要在組策略中進行配置,允許使用者自動進行證書的註冊申請。由於我們希望域內所有使用者都能實現證書的自動註冊,因此我們需要在域級別進行組策略設定。在Florence上開啟Active Directory使用者和計算機,如下圖所示,在CATEST.COM域的屬性中切換到“組策略”標籤,由於我們只是進行實驗,因此選擇編輯預設的域使用者策略即可。
 
如下圖所示,在組策略編輯器中定位到 使用者配置-Windows設定-安全設定-公鑰策略,編輯右側皮膚中的“自動註冊設定”。確保選擇“自動註冊證書”,如有必要,也可選擇“續訂過期證書,更新未決證書並刪除吊銷的證書”和“更新使用證書模板的證書”。這樣一來,使用者不但可以完成證書的自動註冊申請,還可以完成證書的自動更新,續訂以及吊銷。
 
組策略設定完畢後,我們可以在工作站上使用Gpupdate / Force來加速組策略的生效。
 
 使用者測試
萬事俱備,只欠東風,下面我們就在Perth上進行證書的自動註冊測試,如下圖所示,域使用者User1在工作站Perth上登入。
 
User1登入後我滿懷信心地用MMC開啟使用者證書的管理單元檢視成果,咦,怎麼回事?如下圖所示,User1沒有申請到證書!重新啟動Perth,讓User1重新登入也無濟於事。利用別的使用者申請也是無功而返,問題出在哪裡呢?
 
開啟Florence上的證書頒發機構,如下圖所示,在失敗的申請中我們發現了問題所在,證書模板要求使用者屬性中提供電子郵件地址,但我們沒有為使用者填寫電子郵件地址,域內也沒有部署Exchange伺服器,因此使用者提供的屬性不能滿足證書模板的註冊需求,這才導致申請被拒絕。
 
開啟使用者自動註冊證書模板檢視,如下圖所示,果然證書模板要求使用者註冊證書時提供電子郵件地址。
 
找到了問題的原因,接下來就容易處理了,我們既可以取消證書模板對郵件地址的要求,也可以如下圖所示,在User1的屬性中填寫電子郵件地址。
 
我們填寫了User1的郵件地址後,讓User1再次在Perth上登出登入,哈哈,如下圖所示,這次終於成功了,User1完成了使用者證書的自動註冊申請。























本文轉自yuelei51CTO部落格,原文連結:http://blog.51cto.com/yuelei/101185,如需轉載請自行聯絡原作者


相關文章