用组策略实现用户证书的自动注册申请：ISA2006系列之二十八

核心提示：在前面的博文中，我们已经在邮件加密，用组策略实现用户证书的自动注册申请：ISA2006系列之二十八，安全Web站点，TLS通讯，因为只有这种类型的CA服务器才能和组策略结合使用，由于我们创建的CA服务器是域中的第一个证书服务器，智能卡等诸多的应用领域中接触到了证书，证书在安全领域的重要性已是不言而喻

在前面的博文中，我们已经在邮件加密，安全Web站点，TLS通讯，智能卡等诸多的应用领域中接触到了证书，证书在安全领域的重要性已是不言而喻。如果我们在内网搭建了CA服务器，用户应该如何获取证书呢？用户申请证书一般有两种方式，如下图所示，用户既可以通过MMC控制台也可以利用浏览器进行证书的注册申请。但这两种证书申请方式对普通用户来说都有一定的技术难度，如果管理员代为用户申请证书，在用户众多的环境下又不太现实。那我们在大型企业中应该如何处理用户证书的注册申请呢？

我们可以通过组策略结合CA服务器来完成证书的自动注册申请，利用这种方式，我们可以对整个域的用户或某个组织的用户，只要用户在开机后以域用户身份登录，就可以自动完成证书的注册申请。怎么样，听起来是否很不错？下面我们通过一个实验来说明如何实现这个构想，拓扑如下图所示，Florence是域控制器和CA服务器，Perth和Istanbul是用户User1和User2使用的工作站。

一 创建企业根CA

要实现用户证书的自动注册，需要有企业级CA的支持，因为只有这种类型的CA服务器才能和组策略结合使用。由于我们创建的CA服务器是域中的第一个证书服务器，因此服务器类型应该选择企业根。