您必須建立可用於發行短期憑證的憑證範本,且必須指定網域中的哪些電腦可要求此類憑證。
您可以建立多個憑證範本。每個網域只能設定一個範本,但您可以在多個網域之間共用範本。例如,如果您有具有三個網域的 Active Directory 樹系,而您想對三個網域全都使用 True SSO,則可選擇設定一個、兩個或三個範本。所有網域可以共用相同的範本,您也可以讓每個網域具有不同的範本。
必要條件
- 確認您有企業 CA 可用於建立本程序所述的範本。請參閱設定企業憑證授權機構。
- 確認您已備妥智慧卡驗證所需的 Active Directory。如需詳細資訊,請參閱 《Horizon 8 安裝和升級》 文件中〈準備 Active Directory〉下的主題。
- 建立註冊伺服器在網域和樹系中的安全群組,並將註冊伺服器的電腦帳戶加入該群組。
程序
- 若要設定 True SSO,在用於憑證授權機構的機器上,以管理員身分登入作業系統,然後前往。
- 展開左窗格中的樹狀結構,以滑鼠右鍵按一下憑證範本,然後選取管理。
- 以滑鼠右鍵按一下智慧卡登入範本,然後選取複製。
- 針對以下索引標籤進行以下變更:
索引標籤 動作 [相容性] 索引標籤 - 針對憑證授權機構,選取 Windows 作業系統。
- 針對憑證接收者,選取 Windows 作業系統。
[一般] 索引標籤 - 將範本顯示名稱變更為您選擇的名稱。範例:True SSO。
- 將有效期間變更為一般工作日的時間長度;也就是說,使用者可能保持登入系統的時間長度。
為了讓使用者在登入時不會失去對網路資源的存取,有效期間必須比使用者網域中的 Kerberos TGT 更新時間還要長。
(票證的預設最長存留期為 10 小時。若要尋找預設網域原則,請至。)
- 將更新期間變更為有效期間的 50%-75%。
[處理要求] 索引標籤 - 針對目的,選取簽章和智慧卡登入。
- 選取針對智慧卡自動更新, …
[密碼編譯] 索引標籤 - 針對提供者類別,選取金鑰儲存提供者。
- 針對演算法名稱,選取 RSA。
[伺服器] 索引標籤 選取不在 CA 資料庫中儲存憑證及要求。 重要: 請務必取消選取 不在簽發的憑證中包含撤銷資訊(選取第一個方塊後就會選取此方塊,因此您必須取消選取 (清除) 此方塊)。[發行需求] 索引標籤 - 選取授權簽章的數目,然後在方塊中輸入 1。
- 針對原則類型,選取應用程式原則,然後將原則設為憑證要求代理程式。
- 針對重新註冊必須要符合下列條件,選取現存憑證必須有效。
備註:若要自動更新智慧卡憑證,如果無法建立新金鑰,請使用現有金鑰。
[安全性] 索引標籤 針對為註冊伺服器電腦帳戶建立的安全群組 (如先決條件中所述),請提供以下權限:讀取、註冊 - 按一下新增。
- 指定哪些電腦可註冊憑證。
- 針對這些電腦選取適用的核取方塊,給予電腦下列權限:讀取、註冊。
- 按一下 [新範本的內容] 對話方塊中的確定。
- 關閉 [憑證範本主控台] 視窗。
- 以滑鼠右鍵按一下憑證範本,然後選取。
備註: 根據此範本核發憑證的所有憑證授權機構都需要執行此步驟。
- 在 [啟用憑證範本] 視窗中,選取剛建立的範本 (例如 True SSO Template),然後按一下確定。
- 若要設定註冊代理程式電腦,在用於憑證授權機構的機器上,以管理員身分登入作業系統,然後前往。
- 展開左窗格中的樹狀結構,以滑鼠右鍵按一下憑證範本,然後選取管理。
- 找到並開啟註冊代理程式電腦範本,然後在安全性索引標籤上進行下列變更:
針對為註冊伺服器電腦帳戶建立的安全群組 (如先決條件中所述),請提供以下權限:讀取、註冊
- 按一下新增。
- 指定哪些電腦可註冊憑證。
- 針對這些電腦選取適用的核取方塊,給予電腦下列權限:讀取、註冊。
- 以滑鼠右鍵按一下憑證範本,然後選取。
備註: 根據此範本核發憑證的所有憑證授權機構都需要執行此步驟。
- 在 [啟用憑證範本] 視窗中,選取註冊代理程式電腦,然後按一下確定。
下一步
建立註冊服務。
