部署Windows计算机的客户端证书

在这篇文章中,我们将看到为windows计算机部署客户端证书的步骤。这篇文章是部署SCCM 2012 R2 PKI证书分步指南.在上一篇文章中,我们看到SCCM 2012 R2的PKI证书要求如何为运行IIS的站点系统部署web服务器证书.下一步是为windows计算机部署客户端证书。您可以使用根域管理员帐号或企业域管理员帐号登录,并使用该帐号完成本例部署中的所有步骤。

证书的部署对于Windows电脑有以下程序:

1)在证书颁发机构上创建并颁发工作站认证证书模板

PatchMyPC HorizontalAD
修补我的电脑赞助广告

2)配置通过组策略自动注册工作站认证模板

3)自动注册工作站认证证书并验证其在计算机上的安装

在证书颁发机构上创建和颁发工作站身份验证证书模板

在正在运行证书颁发机构控制台中的成员服务器上,右键单击证书模板,然后点击管理加载证书模板管理控制台。在结果窗格中,右键单击显示的条目工作站的身份验证,然后单击复制模板

部署Windows计算机的客户端证书
复制模板对话框,确保Windows Server 2003被选中。

部署Windows计算机的客户端证书

新建模板属性对话框中的一般选项卡,输入模板名称以生成将在配置管理器客户端计算机上使用的客户端证书,例如SCCM客户端证书

部署Windows计算机的客户端证书

单击安全选项卡,选择域的电脑组,并选择的附加权限而且Autoenroll.不清楚招收.点击好吧并关闭证书模板控制台

部署Windows计算机的客户端证书

在Certification Authority控制台中,右键单击证书模板,点击,然后按要颁发的证书模板.在启用证书模板对话框,选择刚刚创建的新模板,SCCM客户端证书,然后按好吧.关闭证书颁发机构

部署Windows计算机的客户端证书

配置使用组策略自动注册工作站认证模板

在域控制器上,启动组策略管理.导航到您的域,右键单击域,然后选择在此域中创建GPO,并在此处链接它。在新的GPO对话框中,输入新组策略的名称,例如Autoenroll证书,并单击好吧

部署Windows计算机的客户端证书

的结果窗格中链接组策略对象选项卡,右键单击新建的组策略,然后单击编辑.在组策略管理编辑,扩大政策电脑配置,然后导航到窗口设置>安全设置>公钥政策.右键单击指定的对象类型证书服务客户端-自动注册,然后按属性

部署Windows计算机的客户端证书

配置模型下拉列表,选择启用中,选择更新过期证书、更新待挂证书、删除已吊销证书中,选择更新使用证书模板的证书,然后按好吧.关闭GPMC。

部署Windows计算机的客户端证书

自动登记工作站身份验证证书并验证其在计算机上的安装

在上面的步骤中,我们已经使用组策略配置了工作站身份验证模板的自动注册。此过程在计算机上安装客户端证书并验证安装。重新启动工作站计算机,等待几分钟后再登录。使用mmc命令打开证书管理单元对话框,选择计算机帐户,然后按下一个.在选择电脑对话框,确保本地计算机:(运行此控制台的计算机),然后单击完成.在控制台中展开证书(本地计算机),扩大个人,然后按证书.在结果窗格中,确认显示一个证书客户端身份验证显示在目的列,然后SCCM客户端证书显示在证书模板列。关闭控制台。

部署Windows计算机的客户端证书

您需要为成员服务器重复相同的步骤,以验证将被配置为管理点的服务器也具有客户端证书。现在为计算机提供了配置管理器客户端证书。

留下回复

你的电邮地址将不会公布。必填字段已标记

11日评论

  1. 《阿凡达》的照片 达沃N 说:

    你好,

    首先,伟大的网站和文章。

    除了你可能遵循了微软的文档之外,还有什么原因让你明确地说“确保选择Windows Server 2003”呢?

    你知道服务器兼容性是“Windows Server 2016”会导致任何问题吗?

    试图从微软得到答案是不可能的,因为他们指向你他们的文章,但他们不能解释为什么。

    谢谢

  2. 《阿凡达》的照片 多米尼克•饲料 说:

    你好,

    我的客户端身份验证证书已经过期,这些客户端继续发送库存,并从部署中获得成功!!这正常吗?
    续借的流程是什么?这是自动的吗?
    我能得到一个特定SCCM集合的所有证书和到期日期的列表吗?

    现在我手动更新它们…

    谢谢,
    Dom

  3. 《阿凡达》的照片 Manohara 说:

    我们可以使用SCCM将客户端身份验证证书部署到设备吗

  4. 《阿凡达》的照片 Govind 说:

    您能帮助我如何为DMZ/WG机器生成证书以便与SCCM通信吗?

  5. 《阿凡达》的照片 马丁 说:

    你好,
    我需要CA上的哪些角色服务来启用自动注册证书到PC?服务角色是否足够:证书颁发机构和证书授权Web注册,还是需要安装证书注册策略Web服务和认证注册Web服务?

  6. 《阿凡达》的照片 旧金山 说:

    您需要GPO中的另一个条目来自动颁发所请求的证书,否则它们将在CA上处于“待定”状态。
    您必须告诉客户端他们可以请求什么类型的证书,这可以通过创建证书请求设置来完成。展开“公钥策略”文件夹,右键单击“自动证书请求设置”,然后选择“新建>自动证书请求”。选择电脑。

    谢谢所有的指导,我学到了很多,谢谢你!

  7. 《阿凡达》的照片 桑德拉 说:

    你好,

    非常好的导游。

    有一个关于证书的问题。打勾是不是不重要或者没有必要
    在“常规”页签“在活动目录中发布证书”?

    BR
    桑德拉

    1. 不要这样做。没有必要的。只会膨胀广告。

  8. 《阿凡达》的照片 西蒙·R。 说:

    伟大的指导!感谢您花时间记录这个过程。

  9. 《阿凡达》的照片 法比奥电话 说:

    你好!首先,伟大的网站,帮助我很多,我安装了2系统中心从零开始在过去的6个月。我现在尝试证书和所有的工作。我有一个服务器,是主站点,现在只有一个(将有DP在不同的位置虽然)。我已经有IIS和SQL Server的服务器身份验证证书(已经在那里)。是我最后一段漏了什么还是一切都好?

  10. 《阿凡达》的照片 赛义德·哈桑 说:

    请告诉我们如何在windows 10上部署上述证书,因为寡妇10既不能与我们的本地CA服务器(windows server 2008 CA)通信,也不能自动注册。
    我们手动部署证书,但这使SCCM服务器混淆,因为证书是所有计算机的,而不是个人客户端证书。