摘要
本循序渐进指南讲述的内容是,如何使用 Microsoft 管理控制台 (MMC) 组策略管理单元给基于 Microsoft®® Windows®2000 的域中的计算机设置自动证书申请。通过给计算机颁发证书可以使其使用公钥安全系统服务和应用程序。例如,Internet 协议安全 (IPSec) 使用证书可以进行身份验证以及安全地与远程计算机进行通信。
引言本循序渐进指南讲述的内容是,如何使用 Microsoft 管理控制台 (MMC) 组策略管理单元给基于 Microsoft® Windows®2000 的域中的计算机设置自动证书申请。
通过给计算机颁发证书可以使其使用公钥安全系统服务和应用程序。例如,Internet 协议安全 (IPSec) 使用证书可以进行身份验证以及安全地与远程计算机进行通信。为计算机设置自动证书申请使域管理员得以从运行企业策略的 Windows 2000 证书颁发机构申请证书。可以从单点为一个域或组织单位 (OU) 中的所有计算机申请证书。
本循序渐进指南作如下条件假设:
- 已在基于 Windows 2000 的域中的计算机上安装了 Windows 2000 操作系统。
- 您是域管理员或本地计算机管理员。
- 您在域控制器上执行本指南的步骤。
- 在域内有一个运行企业策略的 Windows 2000 证书颁发机构。
本循序渐进指南假定,您已经运行 Windows 2000 Server 部署部分(第一部分和 第二部分)的通用基础结构循序渐进指南中的步骤,并且已经完成了设置证书颁发机构的循序渐进指南。
通用基础结构文档指定了特定的硬件和软件配置。如果使用的不是通用基础结构,在使用本指南的时侯,必须将这个因素考虑在内。关于服务器、客户机、和外围设备的硬件要求和兼容性的最新信息,可在(英文)Windows 2000 产品兼容性站点上找到。
在本文档中使用的计算机名称和 Active Directory 结构基于通用基础结构循序渐进指南。
为计算机设置自动证书申请本例说明了,如何使用组策略管理单元,在默认组策略对象 (GPO) 中创建自动证书申请。
创建自动证书申请备注 要安装 Active Directory 用户和计算机 MMC 管理单元,请参见(英文)管理 Active Directory 循序渐进指南中的步骤。
- 单击开始菜单,指向程序,再指向管理工具,然后单击 Active Directory 用户和计算机。就会显示 Active Directory 用户和计算机管理单元,如图 1 所示。
图 1 Active Directory 用户和计算机管理单元 - 右键单击域节点(在本例中是 reskit.com),然后单击属性。
- 默认情况下,Windows 2000 创建默认域策略组策略对象 (GPO)。选中它,然后单击编辑。就会启动组策略管理单元。
- 单击计算机配置旁边的 + 号,来展开它,按同一方法,展开 Windows 设置文件夹,展开安全设置,再展开公钥策略。在公钥策略文件夹中,找出自动证书申请设置文件夹。
- 右键单击自动证书申请设置文件夹,指向上下文菜单中的新建,然后单击自动证书申请。
- 自动证书申请设置向导启动。单击下一步。
- 选择在申请中要使用的证书模板。在本例中,应选择计算机。单击 下一步。
- 选择 Windows 2000 域中发送证书申请的证书颁发机构 (CA)。在本例中,选择企业根 CA。一个企业可能有几个 CA。注意,未运行企业策略的 CA 不出现在本列表中。单击下一步。
- 单击完成,完成创建自动证书申请。当客户机中的 GPO 刷新时,就会申请证书。
要验证是否为域中的计算机颁发了证书,可使用证书管理单元,查看计算机的证书存储区。
要查看证书存储区- 单击开始,单击运行并在打开对话框中输入 mmc,然后单击确定。
- 在控制台菜单上,单击添加/删除管理单元。
- 在此对话框中,单击添加。
- 在添加独立管理单元对话框中,单击证书,然后单击添加。
- 在下一个对话框中,选择计算机帐户选项,来管理计算机的证书。单击下一步。
- 选择本地计算机选项或另一台计算机。如果选择了另一台计算机,则输入计算机名称,或单击浏览,从网络中选择一台计算机。单击完成。
- 单击关闭。单击确定。现在,就为您的计算机创建好了证书管理控制台。
- 展开左窗格中的证书节点。展开 个人文件夹,然后单击证书文件夹。给您的机器颁发的所有证书都列在右窗格中,如图 2 所示。
图 2 个人证书 - 双击存储区中的某个证书,以查看细节。
[默认相关链接片段在这里,加