在中小企業建立企業根憑證授權單位

本頁內容

簡介
開始之前
安裝和設定企業根憑證授權單位
憑證服務執行範例:為無線使用者建立自動註冊機制
相關資訊

簡介

任何組織若是使用外部網路、內部網路及應用程式來交換未受保護的資訊,在安全性都有潛在風險。此時的挑戰,便是預防未授權的協力廠商利用竊取的資訊,偽裝成授權廠商,或是進行防礙組織經營的活動。

這份指南說明如何在網路上安裝公開金鑰憑證授權單位 (CA),指導您利用伺服器執行 Microsoft® Windows Server™ 2003 作業系統。您可以在執行 Microsoft® Windows Server™ 2003 標準版、Microsoft® Windows Server™ 2003 企業版、或 Microsoft® Windows Server™ 2003 Datacenter Edition 的伺服器上安裝 CA。

CA 服務在發行及管理電子憑證或公開金鑰基礎結構 (PKI) 的憑證。PKI 系統包含數位憑證,CA 及其他註冊授權單位 (RA),用來檢查及確認電子交易過程中,所有使用者的合法性。PKI 的標準尚未發展成熟,但仍被廣泛運用,在電子商務中不可或缺。許多政府機關及私人組織都有內定的 PKI 標準。實行 PKI 架構前,請先諮詢法律顧問,確定是否合乎國際法、聯邦法、各州及地方政府法規。

Windows Server 2003 PKI 可以和 Microsoft® Windows® XP Professional 用戶端整合,確保組織和員工、合作夥伴、賣方及顧客間通訊的安全性。執行「Windows Server 2003 憑證服務」的伺服器可發行公開金鑰憑證給個人、裝置或服務。憑證擁有者使用 PKI 應用程式及技術,從中央進行強大的驗證管理,以確保資料保密及交換時的安全性。Windows Server 2003 支援的 PKI 技術提供下列技術及相關商業利益:

  • 數位簽章。建立不可否認性,確保寄件者的真實性。

  • 智慧卡使用方式。提供智慧卡登入雙因素驗證。雙因素驗證要求使用者提供物件 (內含晶片的智慧卡,晶片裡存有數位憑證、使用者私密金鑰) 密碼或個人識別碼,以存取網路資源。

  • 安全電子郵件。安全或多用途網際網路郵件延伸 (Secure/Multipurpose Internet Mail Extensions,S/MIME) 等服務提供保密的通訊、資料完整性、及郵件的不可否認性。

  • 軟體程式碼簽章。Authenticode® 技術允許軟體發行者數位簽章任何形式的主動式內容,包括多元檔案的封存檔。這些簽章可以在下載時,確認內容開發者的身份識別和內容完整性兩者。

  • 網際網路通訊協定安全性 (Internet Protocol Security,IPSec)。這套通訊協定允許兩台電腦間,或電腦和公用網路上路由器間的數位加密簽章通訊。

  • 802.11 提供中央使用者身份識別、驗證、動態金鑰管理,以及已驗證網路存取到 802 無線網路及有線 Ethernet。

  • 加密檔案系統。支援加密、檔案及資料夾解密。

  • 確保使用安全通訊端層 (Secure Sockets Layer,SSL) 及傳輸層安全性 (Transport Layer Security,TLS) 的網路連線。這些通訊協定透過公用網路上的保密通訊通道,提供伺服器及用戶端驗證。無線傳輸層安全性 (Wireless Transport Layer Security,WTLS) 等無線版本的通訊協定可加強無線網路的安全性。

除此之外,透過 Windows Server 2003 PKI,您可以將憑證服務和 Active Directory® 目錄服務及「群組原則」結合。在 Active Directory 裡,Windows Server 2003 CA 使用發行於 Active Directory 的「憑證範本」來控制發行的憑證內容。憑證範本定義儲存到憑證中的資訊,並藉由使憑證的技術內容透明化,簡化 CA 的使用及管理。因應組織需求,您可以使用單一功能範本產生某特定應用程式的憑證,用多功能範本產生數個應用程式的憑證,或建立新的自訂憑證範本。

這份文件提供的指示可幫助您建立企業根 CA、使用憑證範本啟用自動註冊、為無線使用者建立自動註冊。您可以學到如何執行下列工作:

  • 安裝及設定企業根 CA。

  • 確認 CA 安裝。

  • 安裝憑證範本。

  • 建立自訂憑證範本。

  • 設定用於用戶端自動註冊的憑證範本。

  • 授予預設憑證範本註冊權限。

  • 以憑證範本為基礎,設定 CA 發行憑證。

  • 為無線使用者建立自動註冊。

注意:這份文件的螢幕擷取畫面反映的是測試環境,提供的資訊可能和您電腦螢幕上有所差別。

完成這些步驟後,您的網路會包括企業根 CA,您可以使用「憑證範本」嵌入式管理單元存取所有可用憑證範本。在確認過程中,用戶端自動註冊會要求無線使用者使用數位憑證,加強確認。自動註冊會把所有程序透明化,引導使用者自動要求憑證、取出已發行憑證,以及更新憑證。您也可以使用 PKI 支援數位簽章、IPSec 等其他應用程式,來擴大 Windows Server 2003 PKI 提供給網路的保護。

重要:本文件所包括的逐步指示,會從使用預設在安裝作業系統時出現的「開始」功能表開始。如果您有修改過「開始」功能表,這些步驟可能會有些許不同。

開始之前

這一節說明安裝企業 CA 前的必要條件。在安裝前,您必須符合所有必要條件。未符合必要條件可能會導致安裝失敗或功能限制。

這份文件的指示假設現有 PKI 系統尚未部署。整合其他 Microsoft CA 服務到現有 PKI 的指南,不包含在這份文件敘述的解決方案。

IT 基礎結構先決條件

您的組織必須有下列 IT 基礎結構:

  • 部署 Active Directory 的網域基礎結構 (Microsoft® Windows® 2000 Server 含 Service Pack 3 (SP3) 或更新版本,或 Windows Server 2003)。所有「憑證服務」的使用者必須是 Active Directory 樹系的成員。部署程序假設您是使用 Windows Server 2003 Active Directory 架構延伸模式。

  • 能夠執行「Windows Server 2003 憑證服務」的伺服器硬體。「做為企業根 CA 伺服器的建議硬體規格」表中有提供建議的設定。

  • Windows Server 2003 企業版,或 Windows Server 2003 Datacenter Edition 授權、安裝媒體及產品金鑰。

    下表顯示,在執行 Windows Server 2003 標準版、Windows Server 2003 企業版,及 Windows Server 2003 Datacenter Edition 的伺服器上,您可執行的程序。

每個程序都需要 Windows Server 2003 作業系統

程序

Windows Server 2003 作業系統

安裝及設定企業根 CA

標準版

確認 CA 安裝

標準版

安裝憑證範本

標準版

建立憑證範本

企業版或 Datacenter Edition

設定用於用戶端自動註冊的憑證範本

企業版或 Datacenter Edition

授予預設憑證範本註冊權限

標準版

以憑證範本為基礎,設定 CA 發行憑證

第二版本的憑證範本需要企業版否則,只需要使用標準版

為無線使用者建立自動註冊

企業版

企業 CA 必要條件

若要有效安裝使用 Windows Server 2003 的企業 CA,必須執行下列動作:

  • 安裝在網路上 DNS 的 Windows Server 2003 網域名稱服務 (Domain Name Service,DNS)。

  • 安裝在網路上網域控制站的 Windows Server 2003 Active Directory。企業原則把資訊放在 Active Directory。

  • 會裝載結合企業根 CA 和 Active Directory 網域的電腦。

  • 在 DNS、Active Directory 和 CA 伺服器上設定企業系統管理員。這項工作特別重要,因為在某些地方設定修正資訊,需要企業系統管理員權限。

企業根 CA 可僅由一台伺服器建立。

下列表格提供以 Windows Server 2003 為準來作為企業根 CA 伺服器的建議硬體規格。不過,如果您擁有一些符合《Build Guide 2 - Implementing the Public Key Infrastructure. (英文)》所列標準的硬體,您可以不用購買新硬體,如需關於 Microsoft Server 2003 企業根的硬體建議的更多資訊,請參閱《Build Guide 2 - Implementing the Public Key Infrastructure (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkId=22696

做為企業根 CA 伺服器的建議硬體規格

項目

需求

CPU

單一 CPU 733 MHz 或更快

記憶體

256 MB

儲存用磁碟機

IDE (整合式電子裝置) 或 SCSI (小型電腦系統介面) RAID (獨立磁碟容錯陣列) 控制器。2 x 18 GB (SCSI) 或 2 x 20 GB (IDE) 設定為 RAID 磁碟區 (磁碟機 C)。
本機可移除媒體儲存器 (供備份使用的 CD-RW 或磁帶機)。1.44-MB 磁碟機供資料傳輸用。

選擇使用的 CA 類型

某些組織使用外部商業 CA,儘管其他組織使用他們自有的 CA。由於 CA 是組織內重要的信任點,多數的組織有他們自有的 CA。本文件假設您的組織是部署自有的 CA。

Windows Server 2003 提供兩種類別的 CA,安裝時依原則模組決定要安裝企業 CA 或獨立 CA。原則模組定義 CA 接收到憑證請求時,可採取的行動。

一般來說,如果您要對組織內,Windows Server 2003 網域的使用者或電腦發行憑證,您應安裝一個企業 CA。如果您要對 Windows Server 2003 網域外的使用者或電腦發行憑證,您應安裝一個獨立 CA。

企業 CA 需要所有要求憑證的用戶端在 Active Directory 有一個項目,而在獨立 CA 是不用這個條件。企業 CA 可以比獨立 CA 更容易的發行憑證,以用於登入 Windows Server 2003 網域。

在企業和獨立 CA 類別中,有兩種 CA 類型,次級。根 CA 是組織的信任支柱。如果必要,根 CA 憑證可以為某些目的啟用次級 CA,例如執行原則和發行一般使用者憑證。本文件會說明如何安裝和設定企業根 CA,而不說明次級 CA 的部分。

如需關於企業、獨立、根及次級 CA 間的差異,以及主要 PKI 規劃決定的更多資訊,請參閱《MSA Enterprise Design for Certificate Services (英文)》中的<Determining CA Roles & Types>,網址為 http://go.microsoft.com/fwlink/?LinkId=22671

哪些是開始前要知道的

  • Windows Server 2003 提供「憑證服務」與 CA 網頁組。這些網頁允許您使用網頁瀏覽器與 CA 連線,並執行一般工作,例如向 CA 要求憑證、要求 CA 的憑證、提交憑證要求、擷取 CA 憑證撤銷清單 (CRL),或執行智慧卡憑證註冊。對獨立 CA 而言,網頁是向 CA 要求憑證的主要界面,因為「憑證」嵌入式管理單元不能用於從獨立 CA 要求憑證。企業 CA 能接受「憑證」嵌入式管理單元,或網站註冊網頁的憑證要求。

  • CA 的網頁介面要求執行動態伺服器網頁。您可以在開始前,經由 Internet Information Services 啟用「動態伺服器網頁」,或會收到提示啟動它們。

  • 您選擇給 CA 的有效執行期間,會決定 CA 憑證何時「過期」或需要被更新。對於低安全性的環境,您可以使用較長的有效期間和更新期間。對於較強的安全性,通常會設定為較短的有效期間和更新期間。

  • CA 是組織中最機密的伺服器。因此,您必須規劃出部署 CA 時期和每天操作時期,前後兩者的高階安全性。限制對 CA 的實體存取,以及僅允許最受信任的員工來管理這台伺服器。除此之外,藉由完成《Security Guidance Kit (英文)》中,<Securing Windows Server 2003 Domain Controllers>文件中的步驟,確定能保障安裝 CA 的伺服器的安全。

哪些是部署 CA 後不可變更的

  • 設定期間您提供的初步資訊,例如 CA 的名稱,在 CA 設定完成後是不能變更的。

  • 電腦的網域設定,例如加入一個網域或提示伺服器往網域控制站,在憑證授權單位安裝後不能被變更。

  • 如果您以 Enterprise Admin 或委派的使用者安裝企業 CA,那麼在您解除安裝企業 CA 時,您得使用 Enterprise Admin 或委派使用者帳戶。


安裝和設定企業根憑證授權單位

「憑證服務」根授權的安裝程序產生 CA 憑證,包含 CA 公開金鑰和使用根私密金鑰建立的數位簽章。本節提供下列逐步指示,使用憑證範本來建立企業根 CA,以啟用用戶端自動註冊功能和建立自動註冊。

  • 安裝和設定企業根 CA。

  • 確認 CA 安裝。

  • 安裝憑證範本。

  • 建立自訂憑證範本。

  • 設定用於用戶端自動註冊的憑證範本。

  • 授予預設憑證範本註冊權限。

  • 設定 CA 以憑證範本為基準,發行憑證。

安裝和設定企業根 CA

目前您必須以企業系統管理員登入;使用我們的範例,以 Enterprise Admins 群組成員和根網域的 Domain Admins 群組的帳戶登入。

需求
  • 認證:您必須以 Enterprise Admin 群組成員和根網域的 Domain Admins 群組的帳戶登入。

  • 工具:Windows 元件精靈。

  • 這個工作僅能在 Windows Server 2003 標準版;Windows Server 2003 企業版或 Windows Server 2003 Datacenter Edition 的伺服器上執行。

  • 若要安裝和設定企業根憑證授權單位

    1. 以 Enterprise Admins 群組和根網域 Domain Admins 群組兩者的成員帳戶登入。

    2. 按一下 [開始],按一下 [控制台],按兩下 [新增/移除程式],再按一下 [新增] / [Windows 元件]。

    3. 在「Windows 元件精靈」中,選取 [憑證服務] 核取方塊。對話方塊顯示告知您,在「憑證服務」安裝後,電腦不能更改名稱,不能自網域加入或移除。按一下 [是]。

      注意:如果您打算使用「憑證服務」的網頁元件,確認 [IIS] 核取方塊已被選取,透過按一下 [應用程式伺服器] (但是不要選取這個核取方塊),按一下 [詳細資料],選取 [Internet Information Services (IIS)],接著按 [確定]。

      按一下 [下一步]。

    4. 在 [CA 類型] 頁面,選取 [企業根 CA],再按一下 [下一步]。

      Windows 元件精靈

      注意: 私密金鑰永遠儲存於伺服器本機,除了使用加密硬體裝置的案例以外。在這樣的案例,私密金鑰儲存於裝置中。私密金鑰在憑證中。

    5. 在 [CA 識別資訊] 頁面,提供適合您網站和組織的識別資訊:

      1. 在 [這個 CA 的一般名稱],鍵入憑證授權單位的一般名稱。
        CA 名稱(或一般名稱)是重要的,因為它能用來識別 Active Directory 中所建立的 CA 物件。

      2. 在 [有效期間],接受預設的 5 年,再按一下 [下一步]。
        [有效期間] 的時間是 CA 有效的時間長度;實際的有效時間是安全性和管理成本的權衡。請記住,每一次的根憑證過期,系統管理員必須更新所有的信任關係,管理步驟上必須把 CA 移往新的憑證。雖然時期應符合正式的 IT 原則及程序,通常時期為期五年或更久,在多數的企業環境是足夠的。參詢合法顧問,以確認您的 CA 設定,符合所有相關規定的需求。

        Windows 元件精靈
    6. 在 [憑證資料庫設定] 頁面,按一下 [下一步] 以接受預設的憑證資料位置、憑證資料庫記錄,接著確認 [將設定資訊儲存在共用的資料夾] 未被選取。

      注意: 設定可能會發出有關不能建立共用資料夾的警告。這是可預期的,因為所有的網路介面被停用。忽略這並繼續是安全的。您必須在本機 NTFS 磁碟機上設定憑證資料庫和憑證資料庫記錄。

      Windows 元件精靈
    7. 如果 IIS 正執行中,會有訊息提示您停止這服務。按一下 [是] 以停止 IIS。IIS 必須停止,在網頁元件安裝前。

      注意: 如果您未安裝 IIS,您就不會見到這個訊息,網頁自動註冊也不能用,除非安裝有 IIS。

      「選項元件管理員」接著會安裝「憑證服務」元件。如果這需要 Windows Server 2003 安裝媒體 (CD),將 Windows Server 2003 產品光碟插入到光碟機。

    8. 按一下 [確定] 以完成安裝。按一下 [完成] 以關閉精靈。

一旦憑證授權單位安裝後,新增憑證範本到憑證授權單位,並設定憑證授權單位為允許依照去要求一個基於範本的憑證。

注意:如果您有或是打算使用本指南的建議,以加強您的組織內的網域控制站的安全性,您得修正您的網域「群組原則」設定,以重新啟用「憑證服務」。如需關於如何達成的更多資訊,請參閱《Security Guidance Kit (英文)》中的<Securing Windows Server 2003 Domain Controllers>文件。

確認 CA 安裝

要確認「憑證服務」成功完成安裝的最簡易方法,是開啟命令視窗,接著鍵入 net start ,查看「憑證服務」是否正在執行中。

您也可以檢視位於 systemroot\certocm.log 的「憑證服務」設定記錄,以進一步確認,或是萬一發生錯誤可以幫助疑難排解。

您也可以使用下列程序。

需求
  • 認證:您必須在執行「憑證服務」電腦以 Enterprise Admins 群組及本機 Admins 群組成員帳戶登入。

  • 工具:憑證授權單位嵌入式管理單元。

  • 這個工作僅能在 Windows Server 2003 標準版;Windows Server 2003 企業版或 Windows Server 2003 Datacenter Edition 的伺服器上執行。

  • 若要確認正確的根 CA 安裝

    1. 按一下 [開始],按一下 [控制台],按一下 [系統管理工具],再按一下 [憑證授權單位]。

    2. 確認 [憑證服務] 已啟動,並能檢視 CA 內容。此時您應能看到,CA 旁顯示了核取標記符號。

    3. 對 CA 按滑鼠右鍵,再按一下 [內容]。

    4. 在 [一般] 索引標籤,[CA 憑證] 清單下,選擇 [憑證 #0],再按一下 [檢視憑證]。

    5. 按一下「CA 憑證」的 [詳細資料] 索引標籤,然後確認顯示的數值,是否和下列表格的敘述相符合。

      憑證詳細資料預設值

      欄位

      數值

      版本

      V3

      發行者

      必須和 [主旨] 一致,並同時顯示安裝時您提供的 CA 一般名稱,加上可辨別的名稱尾碼。

      有效期自

      安裝企業 CA 根伺服器的日期。

      有效期至

      安裝企業 CA 根伺服器五年後

      主旨

      必須和 [發行者] 一致,並同時顯示安裝時您提供的 CA 一般名稱,加上可辨別的名稱尾碼。

      公開金鑰

      RSA (2048 位元)

      基本限制

      主旨類型 =CA
      長度限制 =無


      注意:請注意標題類型的基本限制。此數值將從終端實體憑證中識別 CA 憑證此外,請勿列出 CDP 或 AIA 副檔名。

      若上述任何數值,和您預設的不同,您必須重新啟動「憑證服務」安裝。

      若要重新執行「憑證服務」安裝,您將接到關於現有私密金鑰的警告。若確知未使用過此金鑰發行憑證,您可安全地略過此訊息,建立新的金鑰。若已具有 CA 發行的憑證 (並非測試憑證),除非您已安全地備份了金鑰和憑證,請勿重新安裝「憑證服務」。

      如需關於 CDP 或 AIA 的延伸,或備份前一個金鑰或憑證的更多資訊,請參閱 TechNet 網站的《Operations Guide 2 - Managing the Public Key Infrastructure (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkId=22675,或參閱 TechNet 網站的《Windows Server 2003 PKI Operations Guide (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkId=22673

    6. 按兩次 [確定],然後關閉 [憑證授權單位]。

安裝憑證範本

此程序將顯示,安裝及檢視預設憑證範本的方式。如需關於預設憑證範本的說明,請連結至 TechNet 網站 http://go.microsoft.com/fwlink/?LinkId=22669,並參閱《Implementing and Administering Certificate Templates in Windows Server 2003 (英文)》的<Default Templates>。

需求
  • 憑證:您必須以 Enterprise Admin 群組成員和根網域的 Domain Admins 群組的帳戶登入。

  • 工具:憑證範本 (certtmpl.msc)

  • 此工作只支援在 Windows Server 2003 的標準版、企業版或 Datacenter Edition 下,執行的伺服器。

  • 若要安裝及檢視預設憑證範例

    1. 按一下 [開始],按一下 [執行],在 [執行] 對話方塊鍵入 certtmpl.msc ,再按一下 [確定]。

    2. 若這是您第一次在 CA,執行「憑證範本」的嵌入式管理單元,您會接到必須安裝憑證範本的訊息,此時請對同樣訊息重複按 [是]。

    3. 在主控台樹狀目錄,按一下 [憑證範本]。所有憑證範本,將顯示在詳細資料窗格中。

      certtmpl - [憑證範本]
    4. 關閉 [憑證範本]。

建立自訂憑證範本

憑證範本的自訂憑證允許,發行自「憑證服務」,包含憑證發行方式,及包含的內容。憑證範本,是一系列針對傳入憑證要求,所設計的規則及設定。

新建憑證範本,是從現有範本複製,使用現有範本的屬性,為新範本的預設值。找出與使用中新範本設定,最接近的現有憑證範本,複製其設定,以減少所需工作。

需求
  • 憑證: 您必須以 Enterprise Admins 群組的成員帳戶登入。

  • 工具:憑證範本 (certtmpl.msc)

  • 此工作只支援在 Windows Server 2003 的標準版、企業版或 Datacenter Edition 下,執行的伺服器。

  • 若要從現有範本,建立自訂憑證範本

    1. 按一下 [開始],按一下 [執行],在 [執行] 對話方塊,鍵入 certtmpl.msc,再按一下 [確定] 開啟 [憑證範本]。

    2. 在詳細資料窗格,對要複製的範本按一下滑鼠右鍵,再按一下 [重複的範本]。

    3. 鍵入此憑證範本的新名稱。

    4. 完成所需變更,再按一下 [確定]。新增範本會出現在清單底部,並顯示 [允許] 在 [自動註冊] 欄。

    5. 關閉 [憑證範本]。

設定用於用戶端自動註冊的憑證範本

自動註冊是 Windows XP 和 Windows Server 2003 企業版中,「憑證服務」的有用功能。自動註冊允許您設定用戶端自動註冊憑證,擷取已發行憑證和更新過期的憑證,無需和用戶端互動。用戶端不必知道任何憑證作業,除非您設定憑證範本和用戶端互動。

本節說明修改憑證範本的方法:對用戶端的自動註冊。如需詳細關於自動註冊的資訊,請參閱位於 TechNet 網站的《Certificate Autoenrollment in Windows Server 2003 (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkId=22668

適當的設定用戶端自動註冊,您得計劃適用的憑證範本或所使用的範本。憑證範本內的一些設定,可以直接影響用戶端自動註冊行為。

需求
  • 認證:您必須以 Enterprise Admins 群組的成員帳戶登入。

  • 工具:憑證範本 (certtmpl.msc)。

  • 這個工作僅能在 Windows Server 2003 企業版或 Windows Server 2003 Datacenter Edition 的伺服器上完成。

  • 若要設定用於用戶端自動註冊的憑證範本。

    1. 按一下 [開始],按一下 [執行],然後在 [開啟] 對話方塊中鍵入 certtmpl.msc,再按一下 [確定]。

    2. 在 [憑證範本] ¸Ô²Ó資料窗格中,在您剛建立並且要設定用於自動註冊的憑證範本上,按一下滑鼠右鍵,再按一下 [內容]。

    3. 在 [安全性] 索引標籤,按一下在 [群組或使用者名稱] 清單中您想設定為自動註冊的使用者、電腦或群組。
      如果使用者、電腦或群組的名稱,尚未列在 [安全性] 索引標籤上的清單,按一下 [新增]。在 [選取使用者、電腦或群組] 對話方塊,鍵入您想新增的名稱,再按一下 [確定]。

    4. 在 [ObjectName 的權限] 清單下的 [允許] 欄,選取 [讀取]、[註冊],和 [自動註冊] 核取方塊,再按一下 [套用]。對每一個您想設定為自動註冊的使用者、電腦或群組,重覆步驟 3 和 4,再按一下 [確定]。

    5. 關閉 [憑證範本]。

對預設的憑證範本授予註冊權限

這個程序將預設範本,設定給在<設定用於用戶端自動註冊的憑證範本>程序中自動註冊的用戶端使用。

需求
  • 認證:您必須以 Enterprise Admins 群組的成員帳戶登入。

  • 工具:憑證範本 (certtmpl.msc)。

  • 此工作只支援在 Windows Server 2003 的標準版、企業版或 Datacenter Edition 下,執行的伺服器。

  • 若要允許用戶端要求以範本為基礎的憑證

    1. 按一下 [開始],按一下 [執行],然後在 [開啟] 對話方塊中鍵入 certtmpl.msc,再按一下 [確定]。

    2. 在 [憑證範本] 的詳細資料窗格中,在您想要更改的憑證範本上,按一下滑鼠右鍵,再按一下 [內容]。

    3. 在 [安全性] 索引標籤上,新增您想新增的群組、電腦或使用者。

    4. 在 [群組或使用者名稱] 中按一下新物件之中的一個物件,接著在 [ObjectName 的權限] 清單的 [允許] 欄下,選取 [讀取] 和 [註冊] 核取方塊。

    5. 重覆先前步驟於每一個新物件。

注意:若要不允許遵循以範本為主的要求,清楚 [讀取] 和 [註冊] 核取方塊,使用和本程序相同的步驟。

設定 CA 發行以憑證範本為準的憑證

這個程序會在 CA 裡新增一個新的憑證範本,再從 CA 發行。

需求
  • 認證:您必須以執行「憑證服務」電腦的本機系統管理員群組成員的帳戶登入。

  • 工具:憑證授權單位嵌入式管理單元。

  • 這個工作只能在執行 Windows Server 2003 標準版;Windows Server 2003 企業版;或 Windows Server 2003 Datacenter Edition 的伺服器上完成。

  • 若要為 CA 增加憑證範本

    1. 按一下 [開始],按一下 [控制台],按一下 [系統管理工具],再按一下 [憑證授權單位]。

    2. 擴充企業根 CA。

    3. 在 [憑證範本] 容器按一下滑鼠右鍵,按一下 [新增] 再按一下 [憑證範本]。

    4. 在 [啟用憑證範本] 對話方塊,選取憑證範本以在 CA 上啟用,再按一下 [確定]。您啟用的憑證範本,會出現在「憑證範本」容器中。

    5. 關閉憑證授權單位。

自 CA 移除憑證範本

在您定義及設定您打算使用的憑證範本後,最佳實作是自 CA 移除所有您不打算使用的憑證範本。移除憑證範本僅取消和 CA 憑證的連結,而不是實體上自憑證範本的儲存刪除它。將來如果您需要任何已移除的憑證範本,您可以重覆<安裝憑證範本>此節的程序來完成工作。

需求
  • 認證:您必須以 Enterprise Admins 群組的成員帳戶登入。

  • 工具:憑證授權嵌入式管理單元。

  • 這個工作只能在執行 Windows Server 2003 標準版;Windows Server 2003 企業版;或 Windows Server 2003 Datacenter Edition 的伺服器上完成。

  • 若要自 CA 移除憑證範本

    1. 按一下 [開始],按一下 [控制台],按一下 [系統管理工具],再按一下 [憑證授權單位]。

    2. 擴充企業根 CA。

    3. 對 [憑證範本] 容器按一下滑鼠右鍵。

    4. 在詳細資料窗格中,在您想自 CA 移除的憑證範本上,按一下滑鼠右鍵,再按一下 [刪除]。

    5. 在 [停用憑證範本] 對話方塊,按一下 [是]。
      憑證範本不會再出現於詳細資料窗格中。


憑證服務執行範例:為無線使用者建立自動註冊機制

若要設定您的伺服器為提供電腦與使用者憑證註冊機制,請執行下列步驟:

  • 為無線使用者建立憑證範本。

  • 設定憑證範本供用戶端註冊使用。

  • 設定 CA 根據範本發行憑證。

需求

  • 認證:您必須以 Enterprise Admins 群組的成員帳戶登入。

  • 工具:「憑證範本」(certtmpl.msc) 嵌入式管理單元,以及「憑證授權單位」嵌入式管理單元。

  • 在此範例中執行的工作,只能在執行 Windows Server 2003 企業版或 Windows Server 2003 Datacenter Edition 的伺服器上完成。

為無線使用者建立憑證範本

  • 若要為無線使用者建立憑證範本

    1. 依序按一下 [開始] 及 [執行],在 [執行] 對話方塊中鍵入 certtmpl.msc,再按一下 [確定]。

    2. 在 [憑證範本] 的詳細資料窗格中,按一下 [使用者] 範本。

    3. 在 [執行] 功能表上,按一下 [重複的範本]。

    4. 在 [新範本的內容] 頁面上,於 [一般] 索引標籤的 [範本顯示名稱] 方塊中,鍵入 [無線用戶憑證範本]。

      新範本內容
    5. 按一下 [套用],然後繼續下一個程序。

設定憑證範本供用戶端自動註冊使用

  • 若要設定憑證範本供用戶端自動註冊使用

    1. 在 [無線用戶憑證範本內容] 頁面的 [一般] 索引標籤上,確定已經選取 [將憑證發佈到 Active Directory] 核取方塊。

    2. 按一下 [安全性] 索引標籤。

    3. 在 [群組或使用者名稱] 清單中,按一下 [Domain Users]。

    4. 在 [Domain Users 的權限] 清單的 [允許] 欄,選取 [讀取]、[註冊] 及 [自動註冊] 核取方塊。

      無線用戶憑證範本內容
    5. 按一下 [主體名稱] 索引標籤,清除 [在主體名稱中包含電子郵件名稱] 及 [電子郵件名稱],再按一下 [確定]。

      無線用戶憑證範本內容

      重要:這兩個選項停用的原因,是因為這個實機部署操作中,並沒有在「Active Directory 使用者和電腦」嵌入式管理單元的 WirelessUser 中輸入電子郵件名稱。您必須為 WirelessUser 帳戶輸入電子郵件地址,或者不選取讓使用者憑證自動註冊到用戶端的兩個電子郵件信箱。

    6. 按一下 [確定],然後關閉 [憑證範本]。

設定 CA 根據範本發行憑證。

  • 若要設定 CA 根據範本發行憑證

    1. 按一下 [開始],指向 [所有程式],指向 [系統管理工具],再按一下 [憑證授權單位]。

    2. 在主控台樹狀目錄中,展開企業根 CA,再按一下 [憑證範本]。

      憑證授權單位
    3. 在 [執行] 功能表,指向 [新增],再按一下 [要發行的憑證]。

    4. 如有需要,向下捲動視窗,再按一下 [無線用戶憑證範本]。

      啟用憑證範本
    5. 按一下 [確定]。

    6. 按一下 [開始],並依序指向 [所有程式] 及 [系統管理工具],再按一下 [Active Directory 使用者和電腦]。

    7. 如有需要,按兩下主控台樹狀目錄中的 [Active Directory 使用者和電腦],於 Contoso.com 網域上按一下滑鼠右鍵,再按一下 [內容]。

    8. 在 [群組原則] 索引標籤上,按一下 [預設網域原則],再按一下 [編輯]。這麼做會開啟「群組原則物件編輯器」嵌入式管理單元。

    9. 在主控台樹狀目錄中,依序展開 [電腦設定]、[Windows 設定]、[安全性] 及 [公開金鑰原則],再按一下 [自動憑證要求設定值]。

      群組原則物件編輯器
    10. 在 [自動憑證要求設定值] 上按一下滑鼠右鍵,指向 [新增],再按一下 [自動憑證要求]。

    11. 在 [歡迎使用自動憑證要求設定精靈] 頁面上,按一下 [下一步]。

    12. 在 [憑證範本] 頁面,按一下 [電腦],再按一下 [下一步]。

      自動憑證要求設定精靈
    13. 在 [完成自動憑證要求設定精靈] 頁面,按一下 [完成]。[電腦] 的憑證類型,現在出現在「群組原則物件編輯器」嵌入式管理的詳細資料窗格中。

      群組原則物件編輯器
    14. 在主控台樹狀目錄中,如果需要的話,向下捲動並接著展開 [使用者設定]、[Windows 設定]、[安全性設定],和 [公開金鑰原則]。按一下 [公開金鑰原則]。

      群組原則物件編輯器
    15. 在詳細資料窗格中,按兩下 [自動註冊設定]。

    16. 按一下 [自動註冊憑證],選取 [更新過期的憑證,更新擱置中的憑證並移除撤銷的憑證] 核取方塊,選取 [根據憑證範本來更新憑證] 核取方塊,再按一下 [確定]。

      自動註冊設定內容
    17. 關閉「群組原則物件編輯器」和 Active Directory 使用者及電腦。

當更新預設的網域「群組原則」物件生效時,用戶端必須重新啟動怹們的電腦,並且以有線連結登入網域,以允許新的「群組原則」設定能被套用,以及憑證能發行。要確認憑證是否發生,您可以透過用戶端電腦的「憑證」嵌入式管理,查看使用者或電腦的個人憑證儲存。

如需關於無線網路選項的更多資訊,請參閱 Microsoft 網站的《Microsoft Solution for Securing Wireless LANs (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkId=22676

相關資訊

如需關於建立企業根 CA 的更多資訊,請參閱下列文件:

如需關於在中小企業中,「公開金鑰架構」、設定和管理 CA 的更多資訊,請參閱下列資訊:


顯示: