您可以設定 CA 上的憑證範本。憑證範本是 CA 所產生之憑證的基礎。
程序
- 建立新的通用安全群組。
如此,您即可將代表使用者發行憑證所需的權限指派給單一安全群組。安裝 VMware 註冊伺服器所在的所有電腦,均可藉由成為此群組的成員而繼承那些權限。
- 按一下開始,然後輸入 dsa.msc。
[Active Directory 使用者和電腦] 對話方塊隨即顯示。
- 在樹狀結構中,在網域控制站的使用者資料夾上按一下滑鼠右鍵,然後選取新增 > 群組。
[新增物件 - 群組] 對話方塊隨即顯示。
- 在 [群組名稱] 欄位中,輸入新群組的名稱。例如,TrueSSO 註冊伺服器。
- 依照下方所述進行設定。
設定
值
群組範圍
通用
群組類型
安全性
- 按一下確定。
新的群組會顯示在 [Active Directory 使用者和電腦] 對話方塊的樹狀結構中。
- 在群組上按一下滑鼠右鍵,然後選取內容。
- 在 [屬於] 索引標籤上新增將要安裝註冊伺服器的電腦,然後按一下確定。
- 重新啟動將要安裝註冊伺服器的電腦
- 按一下開始,然後輸入 dsa.msc。
- 設定憑證範本。
- 選取控制台 > 系統管理工具 > 憑證授權單位。
- 在樹狀結構中,展開本機 CA 名稱。
- 在 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取管理。
[憑證範本主控台] 隨即顯示。
- 在智慧卡登入範本上按一下滑鼠右鍵,然後選取複製範本。
[新範本的內容] 對話方塊隨即顯示。
- 在對話方塊的索引標籤上輸入資訊,如下所述。
索引標籤
設定
相容性
選取 [顯示產生的變更] 核取方塊
憑證授權單位 - Windows Server 2008 R2
憑證收件者 - Windows 7/Server 2008 R2
一般
範本顯示名稱 - 您選擇的名稱。例如,True SSO 範本。
範本名稱 - 您選擇的名稱。例如,True SSO 範本。
有效期間 - 1 小時
更新期間 - 0 週
要求處理
用途 - 簽章和智慧卡登入
選取 [自動更新智慧卡憑證...]核取方塊
選取 [註冊期間提示使用者] 選項按鈕
密碼編譯
提供者類別 - 金鑰儲存提供者
演算法名稱 - RSA
最小金鑰大小 - 2048
選取 [要求可使用任何可用的提供者...]選項按鈕
要求雜湊 - SHA256
主體名稱
選取 [從此 Active Directory 資訊建立] 選項按鈕
主體名稱格式 - 完整的辨別名稱
選取 [使用者主體名稱 (UPN)] 核取方塊
伺服器
選取 [選取不在 CA 資料庫中儲存憑證及要求] 核取方塊
發行需求
註冊的需求如下 - 選取 [授權簽章的數目],並輸入 1
簽章中所需的原則類型 - 應用程式原則
應用程式原則 - 憑證要求代理程式
註冊的需求如下 - 有效的現有憑證
安全性
在索引標籤上半部選取您建立的新群組。然後,在索引標籤的下半部,針對 [讀取] 和 [註冊] 權限選取 [允許]。
- 按一下確定。
- True SSO 的發行範本。
- 再次於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本。
[啟用憑證範本] 對話方塊隨即顯示。
- 選取 TrueSsoTemplate,然後按一下確定。
- 再次於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本。
- 發行註冊代理程式範本。
- 再次於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本。
[啟用憑證範本] 對話方塊隨即顯示。
- 選取註冊代理程式電腦,然後按一下確定。
備註︰
此範本必須與上一個步驟中所發行範本具有相同的安全性設定。
- 再次於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本。
結果
CA 現在已使用適用於搭配 True SSO 的憑證範本完成設定和配置。