Windows Server

⌘K
  2. Domů
  4. Dokumentace
  6. Windows Server
  8. Role serveru
  10. Automatické nasazení certifikátů pro počítače a uživatele v doméně

Automatické nasazení certifikátů pro počítače a uživatele v doméně

Chceš, aby zařízení a uživatelé v doméně automaticky získali certifikáty pro účely jako:

  • autentizace (např. 802.1X, VPN, RDP),
  • šifrování (např. EFS, S/MIME),
  • nebo obecná PKI infrastruktura?

Stačí správně nastavit šablony a GPO. Certifikáty se pak vystaví automaticky přes službu autoenrollment.

Požadavky

  • Certifikační autorita (Enterprise CA) nainstalovaná a funkční
  • AD forest funkční úrovně 2008 nebo vyšší
  • GPO editor a přístup k nastavení doménových politik
  • Uživatelé a počítače musí mít přístup k CA (síť, oprávnění)

1. Aktivace šablon v CA konzoli

  1. Na CA serveru spusť certsrv.msc
  2. Pravým klikem na „Certificate Templates“ → Manage
  3. Vyhledej a povol:
    • Computer (pro zařízení)
    • User (pro uživatele)
  4. Pravý klik → Duplicate Template (volitelné – např. kvůli delší platnosti nebo názvu)
  5. U nové šablony nastav:
    • Security záložku:
      • Přidat Domain Computers s Read + Enroll + Autoenroll
      • Přidat Domain Users podle potřeby
  6. Zavřít, pak v „Certificate Templates“ (na CA) kliknout pravým → New → Certificate Template to Issue → vyber šablonu

2. Nastavení autoenrollment pomocí GPO

  1. Otevři Group Policy Management Console (GPMC)
  2. Vytvoř novou GPO nebo uprav stávající, např. „Cert Enrollment Policy“
  3. V GPO nastav:

Pro počítače:

Computer Configuration →
Policies →
Windows Settings →
Security Settings →
Public Key Policies →
Certificate Services Client - Auto-Enrollment
  • Zapnout: „Configuration Model: Enabled“
  • Zaškrtnout:
    • Renew expired certificates
    • Update certificates that use certificate templates
    • Enroll certificates automatically

Pro uživatele (volitelné):

Stejná cesta, ale pod User Configuration

3. Vynucení GPO a test

Na klientském počítači:

gpupdate /force

A poté:

certutil -pulse

Zkontroluj certifikáty ve:

  • certmgr.msc (pro uživatele)
  • mmc → cert snap-in → Computer account (pro počítač)

Ověření

  • Certifikát se zobrazí v osobním úložišti
  • Vystavitel je tvoje interní CA
  • Certifikát odpovídá šabloně (např. „Computer“, „User“)

Poznámky

  • Pokud certifikát chybí, ověř přístup k CA, práva na šablonu a aplikaci GPO
  • Autoenrollment běží periodicky nebo při certutil -pulse
  • Pro Windows Hello, RADIUS nebo VPN může být potřeba jiná vlastní šablona
Štítky , ,

Jak Vám můžeme pomoci?