Как автоматически зарегистрировать сертификаты из центра сертификации в доверенном домене?

Question

Как автоматически зарегистрировать сертификаты из центра сертификации в доверенном домене?

У меня есть два домена Active Directory в двух отдельных лесах, все на функциональных уровнях Windows Server 2008 R2. Между доменами существует двустороннее доверие лесов.

Домен A содержит корневой центр сертификации Windows Server 2008 R2 Enterprise; его корневой сертификат является доверенным для всех компьютеров в домене; Существуют политики автоматической регистрации для автоматической выдачи сертификата компьютера каждому компьютеру в домене (как правило, более одного на контроллеры домена).

Домен B не содержит центра сертификации, но корневой сертификат CA домена A назначается в качестве доверенного корневого сертификата всем компьютерам в домене с помощью групповой политики, поэтому любой сертификат, выданный этим CA, считается действительным.

Могу ли я настроить политики автоматической регистрации в Домене B, чтобы каждый компьютер в Домене B автоматически запрашивал и получал сертификат от Центра сертификации в Домене A?

Если да, то как?

1

active-directory windows-server-2008-r2 ad-certificate-services pki

Источник

Massimo 10 окт '12 в 22:33

1 ответ

Другие вопросы по тегам active-directory windows-server-2008-r2 ad-certificate-services pki

Mitch 11 окт '12 в 04:32 2012-10-11 04:32 · Answer 1 · 2012-10-11 04:32

Зачисление в другой лес можно выполнить, следуя руководству, расположенному по адресу http://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx. При этом копируются шаблоны и участники безопасности, необходимые для поддержки автоматической подачи заявок.

Предостережение: я использовал это только для поддержки подачи заявок через Интернет, поэтому лично я не проверял, можно ли это продвигать через групповую политику. При этом, если это невозможно, я знаю, что это можно сделать с помощью сценария запуска, который вызывает CertUtil.