我现在拥有一个私人CA后,如何为我的Active Directory成员重新颁发机器证书?
所以我有一个工作的Active Directory。 我最近添加了一台新机器作为Active Directory证书颁发机构。
根据此文档,我已经添加了用于自动证书注册的组策略(计算机级别)。 并validation我的CA出现在我的所有域成员的受信任根证书中。
我导出了CA的根证书,并将其添加到我的工作站(计算机)“受信任的根CA”列表中。
当我想远程桌面到我的远程服务器,它仍然popup这样的警告: 
- 如何configurationAD CS以支持名称约束(RFC 2459中的4.2.1.11)?
- 从“证书模板发布”缺less证书模板
- 自定义证书信任列表的目的是什么?
- “企业PKI”MMC是否允许对PKI进行任何自动化testing?
- 为Windows 2012 CA生成新的自签名CA.
当我查看证书时,很明显,正在发送的证书是默认的机器自签名证书。 如何让Windows根据新的受信任的根CA重新颁发机器证书? 我猜测,我需要创build一个机器证书的自动批准策略的地方有一些约束可能谁可以做出这样的请求。 然后我猜想,我需要推送一个域名政策,以某种方式指示我所有的域名成员获得他们的机器证书。
这听起来对任何人都很熟悉吗? 我觉得我找不到这个文件的原因是因为我不知道正确的术语。
您需要在工作站上注册机器证书。 您可以通过组策略设置自动注册,也可以导航到您的CA上的证书注册网站( https:// yourCA / certenroll)并手动注册。
自动注册在计算机configuration – >策略 – > Windows设置 – >安全设置 – >公钥策略下设置。
编辑获得可用于“客户端身份validation”证书后,您需要设置RDP使用该证书。 请按照此处的说明为WMI脚本执行此操作。
这个微软的文档可能会帮助你: http : //support.microsoft.com/kb/281271
“在以下情况下,如果来自同一个域的用户作为证书颁发机构(CA)请求证书,则颁发的证书将在Active Directory中发布,但如果用户来自子域,则此过程不成功。此外,当来自同一个域的用户请求证书时,颁发的证书可能不会在Active Directory中发布。
从微软查看这篇详细的文章: http : //blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx?PageIndex=2
问候。
法鲁克。