Windows-Server-2008-R2
如何從受信任域中的證書頒發機構自動註冊證書?
我在兩個獨立的林中有兩個 Active Directory 域,都在 Windows Server 2008 R2 功能級別。域之間存在雙向林信任。
域 A 包含一個 Windows Server 2008 R2 企業根證書頒發機構;其根證書受到域中所有電腦的信任;有自動註冊策略可以自動向域中的每台電腦頒發電腦證書(像往常一樣,向 DC 頒發多個證書)。
域 B 不包含證書頒發機構,但域 A 的 CA 的根證書作為受信任的根證書通過組策略分配給域中的所有電腦,因此該 CA 頒發的任何證書都被視為有效。
我可以在域 B 中配置自動註冊策略,以便域 B 中的每台電腦自動向域 A 中的證書頒發機構請求並獲取證書嗎?
如果是,如何?
可以按照位於http://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx的指南完成跨林註冊。這將複製支持自動註冊所需的模板和安全主體。
警告:我只用它來支持Web Enrollment,所以我沒有親自驗證它可以通過組策略推送。話雖如此,如果不能,我知道可以通過呼叫 CertUtil 的啟動腳本來完成。