Назад | Перейти на главную страницу

Запросить персональный сертификат в Windows автоматически

Мне было поручено создать центр сертификации (CA) Windows Server 2012 в нашем домене и использовать его для создания личного сертификата для наших пользователей. Сертификат предназначен для подписи файлов PDF.

Я создал центр сертификации и новый шаблон под названием «Подписание PDF» со всеми необходимыми мне параметрами. Теперь остается только создать сертификат для наших пользователей.

Пока что я видел 3 метода для этого:

  1. Запустите certmgr, щелкните правой кнопкой мыши Личные-> Сертификаты и запросите сертификат. Следуйте указаниям мастера и выберите шаблон «Подписание PDF». Я не знаю, требует ли этот метод, чтобы пользователь был администратором.
  2. Установите функцию роли веб-регистрации и направьте пользователей на веб-сайт. По иронии судьбы, я обнаружил, что пользовательский интерфейс сложнее, чем в certmgr
  3. Версия командной строки (certreq)

Есть ли способ автоматизировать этот процесс? Версия для командной строки требует наличия файла .ini и пароля, что усложняет автоматизацию.

Я застрял, объясняя пользователям, как использовать certmgr? У наших пользователей нет никаких привилегий, даже у локального администратора. Или есть еще один метод, который я не видел?

Эта функция называется автоматической регистрацией сертификатов: Настроить автоматическую регистрацию сертификатов

просто обратите внимание: не используйте веб-регистрацию, она устарела и имеет очень и очень ограниченную функциональность.

Изменить: вот как работает автоматическая регистрация.

  1. Каждый раз, когда групповые политики обновляются на клиентах (для членов домена это примерно каждые 90 минут +/-, на контроллерах домена это 15 или 5 минут, в зависимости от функционального уровня), запускается автоматическая регистрация.
  2. Автоматическая регистрация проверяет все шаблоны сертификатов из Active Directory и выбирает те, в которых текущая учетная запись (или группа) пользователя имеет разрешения на чтение и автоматическую регистрацию.
  3. Автоматическая регистрация обнаруживает доступные корпоративные ЦС в лесу Active Directory и проверяет, поддерживает ли ЦС шаблоны сертификатов, выбранные на шаге 2.
  4. Автоматическая регистрация проверяет локальное хранилище сертификатов и проверяет наличие действительных сертификатов на основе шаблонов, выбранных на шаге 3. Если сертификат отсутствует, автоматическая регистрация сертификатов выполняет автоматическую регистрацию.

Хотя логика более сложная, этой информации достаточно, чтобы вы могли понять, как выбираются шаблоны, другими словами, через разрешения и доступность шаблона сертификата на сервере CA.