您必须创建一个可用于颁发短期证书的证书模板,并指定域中的哪些计算机可请求获取此类型的证书。

您可以创建多个证书模板。针对每个域只能配置一个模板,但可以在多个域之间共享模板。例如,如果一个 Active Directory 林中包含三个域,您希望针对所有这三个域使用 True SSO,则可以选择配置一个、两个或三个模板。所有域可以共享同一个模板,您也可以针对每个域配置不同的模板。

前提条件

  • 确认您拥有一个企业 CA,以用于创建此过程中所述的模板。请参阅设置企业证书颁发机构
  • 确认您准备了 Active Directory 以进行智能卡身份验证。有关更多信息,请参阅《Horizon 7 安装指南》文档。
  • 在注册服务器的域和林中创建安全组,并将注册服务器的计算机帐户添加到该组。

过程

  1. 要配置 True SSO,在用于证书颁发机构的计算机上,以管理员身份登录到操作系统,并转到管理工具 > 证书颁发机构
    1. 展开左侧窗格中的树,右键单击证书模板,并选择管理
    2. 右键单击智能卡登录模板,并选择复制
    3. 在以下选项卡中进行如下更改:
      选项卡 操作
      “兼容性”选项卡
      • 对于证书颁发机构,选择 Windows Server 2008 R2
      • 对于证书接收方,选择 Windows 7/Windows Server 2008 R2
      “常规”选项卡
      • 将模板显示名称更改为您选择的名称。示例:True SSO。
      • 将有效期更改为一个典型工作日的时长;也就是用户可能在系统中保持登录的时间长度。

        这样,用户便不会在处于登录状态时失去对网络资源的访问;有限期必须长于用户域中的 Kerberos TGT 续订时间。

        (票证的默认最大生命周期为 10 小时。要查找默认的域策略,您可以转到计算机配置 > 策略 > Windows 设置 > 安全设置 > 帐户策略 > Kerberos 策略: 用户票证最长寿命。)

      • 将续订期限更改为有效期的 50%-75%。
      “请求处理”选项卡
      • 对于用途,选择签名和智能卡登录
      • 选择对于智能卡的自动续订,...
      “加密”选项卡
      • 对于提供程序类别,选择密钥存储提供程序
      • 对于算法名称,选择 RSA
      “服务器”选项卡 选择在 CA 数据库中不存储证书和请求
      重要说明: 确保取消选择 在颁发的证书中不包含吊销信息。(在您选择第一个选项时,此框也会被随之选中,您必须取消选择(清除)它。)
      “发布要求”选项卡
      • 选择授权签名的数量,并在该框中键入 1
      • 对于策略类型,选择应用程序策略,并将策略设置为证书申请代理
      • 对于要重新注册,要求下列项目,选择有效的现存证书
      “安全”选项卡 对于为注册服务器计算机帐户创建的安全组(如“前提条件”中所述),提供以下权限:读取、注册。
      1. 单击添加
      2. 指定哪些计算机允许注册证书。
      3. 对于这些计算机,选中相应的复选框,以向计算机提供以下权限:读取、注册。
    4. 在“新模板的属性”对话框中,单击确定
    5. 关闭“证书模板控制台”窗口。
    6. 右键单击证书模板,并选择新建 > 要颁发的证书模板
      注: 所有基于此模板颁发证书的证书颁发机构都需要执行此步骤。
    7. 在“启用证书模板”窗口中,选择刚创建的模板(例如,True SSO 模板),并单击确定
  2. 要配置注册代理计算机,在用于证书颁发机构的计算机上,以管理员身份登录到操作系统,并转到管理工具 > 证书颁发机构
    1. 展开左侧窗格中的树,右键单击证书模板,并选择管理
    2. 找到并打开注册代理计算机模板,然后在安全选项卡中进行以下更改:
      对于为注册服务器计算机帐户创建的安全组(如“前提条件”中所述),提供以下权限:读取、注册。
      1. 单击添加
      2. 指定哪些计算机允许注册证书。
      3. 对于这些计算机,选中相应的复选框,以向计算机提供以下权限:读取、注册。
    3. 右键单击证书模板,并选择新建 > 要颁发的证书模板
      注: 所有基于此模板颁发证书的证书颁发机构都需要执行此步骤。
    4. 在“启用证书模板”窗口中,选择注册代理计算机,并单击确定

下一步做什么

创建注册服务。请参阅安装并设置注册服务器