實驗目的:配置受限註冊代理
實驗環境:LON-DC1 Windows2012R2 AD+ADCS 172.16.0.10
LON-CL1 Windows8 Client 172.16.0.100
實驗步驟:
登入LON-DC1,從服務器管理器中打開證書頒發機構
右鍵點擊證書模板,選擇管理
在模板列表中找到註冊代理模板,雙擊打開它的屬性,並打開安全選項卡,點擊添加,將User1加入並賦予讀取和註冊權限
完成上面操作後,回到證書頒發機構,右鍵點擊證書模板,選擇新建->要頒發的證書模板
選擇註冊代理模板,讓它添加到證書模板容器中
接下來我們使用user1登入LON-CL1計算機,並執行mmc.exe命令,打開控制檯,然後添加證書管理單元
在證書管理單元中,右鍵選中個人容器,然後選擇所有任務->申請新證書
在嚮導中默認下一步執行,直到請求證書頁面,然後選擇註冊代理,點擊註冊,完成配置嚮導
註冊的時候可能會碰到吊銷服務器脫機的錯誤,這個問題可能是企業從屬CA上沒有從獨立根CA上覆制CRLs和根證書,我們可以通過命令手動的將它加入到企業從屬CA上,certutil -addstore root adatumrootca.crl 和 certutil -addstore root lon-svr1_adatumrootca.crt,完成註冊代理證書的註冊,我們可以看到個人容器裏面多了一個證書
在客戶端申請完證書後,切換到LON-DC1,打開AdatumRootCA的屬性,選擇註冊代理選項卡
我們配置User1只能爲域內的用戶(domain users羣組的用戶)註冊用戶模板證書,這裏我們選擇受限設置,並參照下圖的配置
註冊代理配置的實驗到此完成。