您必須建立可用於發行短期憑證的憑證範本,且必須指定網域中的哪些電腦可要求這類憑證。

執行這項作業的原因和時機

您可以建立多個憑證範本,但一次只能設定一個要使用的範本。

先決條件

  • 確認您有企業 CA 可用於建立本程序所述的範本。請參閱 設定企業憑證授權單位

  • 確認您已備妥智慧卡驗證所需的 Active Directory。如需詳細資訊,請參閱《View 安裝》文件。

  • 建立註冊伺服器在網域和樹系中的安全群組,並將註冊伺服器的電腦帳戶加入該群組。

程序

  1. 在用於憑證授權單位的機器上,以管理員身分登入作業系統,然後前往系統管理工具 > 憑證授權單位
  2. 展開左窗格中的樹狀結構,以滑鼠右鍵按一下憑證範本,然後選取管理
  3. 以滑鼠右鍵按一下智慧卡登入範本,然後選取複製
  4. 針對以下索引標籤進行以下變更:

    索引標籤

    動作

    [相容性] 索引標籤

    • 針對憑證授權單位,選取 Windows Server 2008 R2

    • 針對憑證收件者,選取 Windows 7/Windows Server 2008 R2

    [一般] 索引標籤

    • 將範本顯示名稱變更為 True SSO

    • 將有效期間變更為一般工作日的時間長度;也就是說,使用者可能保持登入系統的時間長度。

      為了讓使用者在登入時不會失去對網路資源的存取,有效期間必須比使用者網域中的 Kerberos TGT 更新時間還要長。

      (票證的預設最長存留期為 10 小時。若要尋找預設網域原則,請至電腦設定 > 原則 > Windows 設定 > 安全性設定 > 帳戶原則 > Kerberos 原則: 使用者票證最長存留期。)

    • 將更新期間變更為 1 天。

    [處理要求] 索引標籤

    • 針對目的,選取簽章和智慧卡登入

    • 選取針對智慧卡自動更新, …

    [密碼編譯] 索引標籤

    • 針對提供者類別,選取金鑰儲存提供者

    • 針對演算法名稱,選取 RSA

    [伺服器] 索引標籤

    選取不在 CA 資料庫中儲存憑證及要求

    重要事項︰

    請務必取消選取不在簽發的憑證中包含撤銷資訊 (選取第一個方塊後就會選取此方塊,因此您必須取消選取 (清除) 此方塊)。

    [發行需求] 索引標籤

    • 選取授權簽章的數目,然後在方塊中輸入 1

    • 針對原則類型,選取應用程式原則,然後將原則設為憑證要求代理程式

    • 針對重新註冊必須要符合下列條件,選取現存憑證必須有效

    [安全性] 索引標籤

    針對為註冊伺服器電腦帳戶建立的安全群組 (如先決條件中所述),請提供以下權限:讀取、註冊

    1. 按一下新增

    2. 指定哪些電腦可註冊憑證。

    3. 針對這些電腦選取適用的核取方塊,給予電腦下列權限:讀取、註冊。

  5. 按一下 [新範本的內容] 對話方塊中的確定
  6. 關閉 [憑證範本主控台] 視窗。
  7. 以滑鼠右鍵按一下憑證範本,然後選取新增 > 要發出的憑證範本
    備註︰

    根據此範本核發憑證的所有憑證授權單位都需要執行此步驟。

  8. 在 [啟用憑證範本] 視窗中,選取剛建立的範本 (例如 True SSO Template),然後按一下確定
  9. 在 [啟用憑證範本] 視窗中,選取註冊代理程式電腦,然後按一下確定

下一步

建立註冊服務。請參閱 安裝和設定註冊伺服器