Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Predpoklady:
1. Uistite sa, že máte správne nakonfigurovanú infraštruktúru Active Directory Certificate Services (AD CS) s koreňovou CA a vydávajúcou podriadenou CA.
2. Skontrolujte, či sú počítače, do ktorých chcete nasadiť certifikáty, pripojené k doméne Active Directory.
Nakonfigurujte objekt GPO:
1. Otvorte Konzolu správy skupinovej politiky na radiči domény alebo počítači s príslušnými oprávneniami správcu.
2. Vytvorte nový GPO alebo upravte existujúci GPO, ktorý chcete použiť na nasadenie certifikátov.
3. V časti „Konfigurácia počítača“ prejdite do časti „Zásady> Nastavenia systému Windows> Nastavenia zabezpečenia> Zásady verejného kľúča> Klient certifikačných služieb – Automatická registrácia“.
4. V pravej časti okna dvakrát kliknite na „Automaticky zapísať certifikáty“, čím otvoríte vlastnosti automatickej registrácie.
5. Na karte „Všeobecné“ povoľte možnosť „Automaticky registrovať certifikáty“.
6. Kliknutím na tlačidlo „Nastavenia“ nakonfigurujete nastavenia automatickej registrácie:
- Vyberte vydávajúcu CA, od ktorej chcete požiadať o certifikáty.
- Vyberte šablónu certifikátu, ktorá sa použije na registráciu.
- Zadajte názov predmetu pre certifikáty.
7. Voliteľne môžete podľa potreby nakonfigurovať nastavenia obnovenia a ďalšie vlastnosti.
Priraďte objekt GPO k počítačom:
1. Prepojte objekt GPO, ktorý ste nakonfigurovali v predchádzajúcom kroku, s organizačnou jednotkou (OU) alebo doménou obsahujúcou počítače, do ktorých chcete nasadiť certifikáty.
2. Vynútiť GPO, aby sa dal aplikovať na počítače.
Distribúcia certifikátov:
1. Spustite proces automatickej registrácie spustením príkazu „gpupdate /force“ na počítačoch. Tento príkaz aktualizuje skupinové politiky vrátane nastavení automatického zápisu certifikátov na počítačoch.
2. Prípadne môžete počkať na predvolený interval obnovenia skupinovej politiky, aby sa nastavenia uplatnili.
3. Počítače si automaticky vyžiadajú a nainštalujú certifikáty od nakonfigurovanej CA.
4. Certifikáty budú uložené v pamäti certifikátov lokálneho počítača.
Podľa týchto krokov môžete úspešne nasadiť certifikáty do počítačov pomocou skupinovej politiky a automaticky spravovať životný cyklus certifikátov na vašich počítačoch pripojených k doméne.