Назад | Перейти на главную страницу

Как автоматически регистрировать сертификаты от центра сертификации в доверенном домене?

У меня есть два домена Active Directory в двух разных лесах, все на функциональных уровнях Windows Server 2008 R2. Между доменами существует двустороннее доверие между лесами.

Домен A содержит корневой центр сертификации Windows Server 2008 R2 Enterprise; его корневому сертификату доверяют все компьютеры в домене; существуют политики автоматической регистрации для автоматической выдачи сертификата компьютера каждому компьютеру в домене (как обычно, более одного для контроллеров домена).

Домен B не содержит центра сертификации, но корневой сертификат ЦС домена А назначается в качестве доверенного корневого сертификата всем компьютерам в домене через групповую политику, поэтому любой сертификат, выданный этим ЦС, рассматривается как действительный.

Могу ли я настроить политики автоматической регистрации в домене B, чтобы каждый компьютер в домене B автоматически запрашивал и получал сертификат от центра сертификации в домене A?

Если да, то как?

Записаться в кросс-лес можно, следуя инструкциям по адресу http://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx. При этом копируются шаблоны и участники безопасности, необходимые для поддержки автоматической регистрации.

Предостережение: я использовал это только для поддержки веб-регистрации, поэтому я лично не проверял, можно ли его отправить с помощью групповой политики. При этом, если нет, я знаю, что это можно сделать с помощью сценария запуска, который вызывает CertUtil.