您可以在 CA 中配置证书模板。证书模板是 CA 生成的证书的基础。
过程
- 创建新的通用安全组。
此操作允许您创建单个安全组,以便您能够向该组分配代表用户颁发证书所需的权限。安装了 VMware 注册服务器的所有计算机都可以通过成为该组的成员来继承这些权限。
- 单击开始,然后键入“dsa.msc”。
此时会显示“Active Directory 用户和计算机”对话框。
- 在树中,右键单击域控制器的用户文件夹,然后选择新建 > 组。
此时会显示“新建对象 - 组”对话框。
- 在“组名称”字段中,输入新组的名称。例如,“TrueSSO 注册服务器”。
- 进行下述设置。
设置
值
组范围
通用
组类型
安全
- 单击确定。
新组会出现在“Active Directory 用户和计算机”对话框的树中。
- 右键单击该组,然后选择属性。
- 在“成员”选项卡中,添加将安装注册服务器的计算机,然后单击确定。
- 重新启动将安装注册服务器的计算机。
- 单击开始,然后键入“dsa.msc”。
- 配置证书模板。
- 选择控制面板 > 管理工具 > 证书颁发机构。
- 在树中,展开本地 CA 名称。
- 右键单击“证书模板”文件夹,然后选择管理。
此时会显示证书模板控制台。
- 右键单击“智能卡登录”模板,然后选择复制模板。
此时会显示“新模板的属性”对话框。
- 按照以下所述在该对话框的选项卡中输入相应信息。
选项卡
设置
兼容性
选中“显示产生的变化”复选框
证书颁发机构 - Windows Server 2008 R2
证书接收人 - Windows 7 / Server 2008 R2
常规
模板显示名称 - 您选择的名称。例如,“True SSO 模板”。
模板名称 - 您选择的名称。例如,“True SSO 模板”。
有效期 - 1 小时
续订期 - 0 周
请求处理
用途 - 签名和智能卡登录
选中“对于智能卡证书的自动续订...”复选框
选中“注册时提示用户”单选按钮
加密
提供程序类别 - 密钥存储提供程序
算法名称 - RSA
最小密钥大小 - 2048
选中“请求可以使用...可用的任何提供程序”单选按钮
请求哈希 - SHA256
使用者名称
选中“用 Active Directory 中的信息生成”单选按钮
使用者名称格式 - 完全可分辨名称
选中“用户主体名称(UPN)”复选框
服务器
选中“不在 CA 数据库中存储证书和请求”复选框
颁发要求
要注册,要求下列项目 - 选择“授权签名的数量”,然后输入“1”
签名中要求的策略类型 - 应用程序策略
应用程序策略 - 证书申请代理
要注册,要求下列项目 - 有效的现存证书
安全
在该选项卡的上面部分,选择您所创建的新组。然后,在该选项卡的下面部分,为“读取”和“注册”权限选择“允许”。
- 单击确定。
- 颁发用于 True SSO 的模板。
- 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板。
此时会显示“启用证书模板”对话框。
- 选择“TrueSsoTemplate”,然后单击确定。
- 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板。
- 颁发注册代理模板。
- 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板。
此时会显示“启用证书模板”对话框。
- 选择“注册代理计算机”,然后单击确定。
注:
此模板的安全设置必须与在上一步骤中颁发的模板的安全设置相同。
- 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板。
结果
此时已设置 CA 并为其配置了适用于 True SSO 的证书模板。
