所以我有一个可以正常工作的 Active Directory。我最近添加了一台新机器作为 Active Directory 证书颁发机构。
我已根据以下说明添加了用于自动证书注册的组策略(计算机级别)这个文件。并验证我的 CA 出现在我所有域成员的受信任根证书中。
我已导出 CA 的根证书并将其添加到我的工作站(计算机)的受信任的根 CA 列表中。
当我想通过远程桌面进入我的远程服务器时,它仍然会弹出这样的警告:
当我查看证书时,很明显,发送的证书是默认的机器自签名证书。如何让 Windows 根据我的新受信任根 CA 重新颁发机器证书?我猜我需要在某个地方为机器证书创建一个自动批准策略,并可能对谁/如何可以提出此类请求进行一些限制。然后我猜我需要推动一个域策略,以某种方式指示我的所有域成员获取他们的机器证书。
大家觉得这个听起来很熟悉吗?我想我找不到相关文档的原因是我不知道正确的术语。
答案1
您需要在工作站上注册机器证书。您可以通过组策略设置自动注册,也可以导航到 CA 上的证书注册网站 (https://你的CA/certenroll并手动注册。
自动注册在计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 公钥策略下设置。
编辑获取可用于“客户端身份验证”的证书后,您需要设置 RDP 以使用该证书。请按照说明操作这里使用 WMI 脚本来执行此操作。
答案2
此微软文档可能会帮助您: http://support.microsoft.com/kb/281271
“在以下情况下,如果来自与证书颁发机构 (CA) 相同的域的用户请求证书,则颁发的证书将在 Active Directory 中发布。但是,如果用户来自子域,则此过程不会成功。此外,当来自与 CA 相同的域的用户请求证书时,颁发的证书可能不会在 Active Directory 中发布。”