我正在尝试启用 Bitlocker 网络解锁功能。我按照这篇文章操作: https://technet.microsoft.com/en-us/library/jj574173(v=ws.11).aspx
我的环境是:
- 域功能级别:2012
- 森林功能级别:2008 R2
- 所有域控制器都运行 Windows 2012 R2
- WDS 和网络解锁功能在 Windows Server 2016 上运行(WDS 运行完美)
按照本文,我通过复制 CA 上的“用户”模板创建了一个证书模板。该模板已发布,因此可以请求。然后,在我的 WDS 服务器上,我以用户身份打开证书控制台并请求新证书。证书请求在 CA 上显示为待处理,我手动接受。颁发的证书从未显示在 WDS 服务器上的“个人”存储中,即使在 CA 上显示为已颁发。我觉得这篇文章可能是错误的,因为“Bitlocker 网络解锁”证书存储仅出现在以本地计算机而不是用户身份运行的证书控制台中。但当前证书模板不允许来自计算机帐户的请求。我该怎么办?
答案1
事实证明,technet 文章遗漏了一件事。要使颁发的证书出现在个人存储中,请求证书的用户必须具有自动注册权限。这可以通过 GPO 配置:用户配置 > Windows 设置 > 安全设置 > 用户公钥策略。在我为我的帐户应用此 GPO 后,颁发的证书会自动放置在正确的存储中,我可以继续执行步骤。
答案2
您还可以从 CA 打开导出证书,然后将其导入 WDS 服务器上的个人存储。
为此,请打开 CA 颁发的证书,然后单击“详细信息”选项卡下的“复制到文件...”。将证书复制到 WDS 服务器,然后将其导入。