Чтобы автоматизировать публикацию сертификатов MS CA в карточки пользователей AD в домене, можно использовать объект групповой политики. 1

Для этого нужно: 1

1. Войти на сервер сертификатов и открыть приложение центра сертификации. 1

2. Развернуть сервер, щёлкнуть правой кнопкой мыши по шаблонам сертификатов и выбрать «Управление». 1

3. В появившемся окне прокрутить вниз и щёлкнуть правой кнопкой мыши по шаблону с надписью «user» и выбрать «Дублировать шаблон». 1

4. На вкладке «Общие» указать имя шаблона, чтобы его можно было легко отличить и найти позже. 1 В разделе «Обработка запроса» убедиться, что флажок «Разрешить экспорт закрытого ключа» не установлен. 1

5. В разделе «Расширения» с выделенными политиками приложений нажать «Изменить», во всплывающем окне нажать «Добавить», найти «Аутентификация сервера» и нажать «Ок». 1 В разделе «Безопасность» убедиться, что домен users присутствует и имеет права чтения, записи, регистрации и автоматической регистрации. 1 В разделе «Имя субъекта» выбрать имя участника (UPN). 1

6. Щёлкнуть правой кнопкой мыши на шаблоне сертификата и выбрать «Создать» > «Шаблон сертификата для выдачи», когда появится следующее окно, выбрать оба созданных шаблона. 1 После этого можно закрыть Центр сертификации. 1

7. Войти в систему на контроллере домена и открыть редактор групповой политики. 1

8. Щёлкнуть правой кнопкой мыши по домену и выбрать «Создать объект групповой политики в этом домене и связать его здесь». 1

9. Ввести новое имя для объекта групповой политики. 1

10. Щёлкнуть правой кнопкой мыши на созданном объекте групповой политики и выбрать «Изменить». 1

11. Перейти в раздел «Конфигурация компьютера» > «Политики» > «Настройки Windows» > «Параметры безопасности». 1

12. В разделе «Системные службы» прокрутить вниз до Wired auto config, дважды щёлкнуть по нему и выбрать поле «Определить этот параметр политики» и установить режим запуска службы на автоматический. 1

13. Щёлкнуть правой кнопкой мыши политики проводной сети (802.3) и выбрать «Создать новую политику проводной сети для Windows Vista и более поздних версий». 1

14. На вкладке «Общие» дать новой политике имя и описание, также убедиться, что «Использовать службу автоматической настройки Windows для клиентов». 1 На вкладке «Безопасность» установить для параметра «Выбрать метод сетевой аутентификации» значение Microsoft: Protected EAP (PEAP) и нажать кнопку «Свойства». 1 В этом новом окне установить флажок рядом с надписью «Подтвердить личность сервера путём проверки сертификата». 1

15. В разделе «Доверенные корневые центры сертификации» прокрутить вниз до серверов CA (нужно щёлкнуть по обоим серверам CA), затем внизу, где написано «Выбрать метод аутентификации», изменить значение на «Смарт-карта или другой сертификат», нажать кнопку «Настроить» и в разделе «Доверенные корневые центры сертификации» выбрать два сертификата из корневого CA. 1

16. Перейти в раздел «Политики открытых ключей» и дважды щёлкнуть «Клиент службы сертификатов» — «Автоматическая регистрация». 1 Во всплывающем окне изменить конфигурацию Model: на enabled и убедиться, что установлены оба флажка. 1

17. Перейти в раздел «Конфигурация пользователя» > «Политики» > «Настройки Windows» > «Параметры безопасности». 1 После этого дважды щёлкнуть «Клиент служб сертификатов» — «Настройки автоматической регистрации». 1 Во всплывающем окне изменить конфигурацию Model: на enabled и убедиться, что установлены оба флажка. 1

18. Перезагрузить компьютер своего домена и выполнить на нём вход. 1 После входа на сервер центра сертификации открыть приложение Центра сертификации. 1

19. В приложении перейти в раздел «Выданные сертификаты» и увидеть сертификаты, выданные с использованием созданных шаблонов из объекта групповой политики. 1

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена» или «Администраторы предприятия» или в эквивалентной группе. 2