none
用户证书自动注册 RRS feed

  • 问题

  • windows server 2016 ,  在证书服务器,已经部署了计算机,和用户的证书模板,在安全里也给了对应的权限自动注册,现在问题是用户无法自动获取到证书,但是通过手动的方式MMC 就可以自动获取到。还有如果使用具有本地管理员权限的帐号,则计算机与用户均可以自动获取到证书。想问为什么普通用户无法自动获取到证书。

    通过查看注册表,普通用户没有以下这一项

    HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Cryptography \ AutoEnrollment \

    谢谢


    2020年3月31日 17:17

全部回复

  •  您好!

    关于我们的问题,首先我想确认下您是否配置相应的组策略来自动注册用户证书。如果我们尚未配置,请参考以下文章中“配置用户证书自动注册”完成此操作:
    https://docs.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/server-certs/configure-server-certificate-autoenrollment        

    确保我们组策略配置完成后,请确认组策略是连接到用户所在OU或者域里。

    接着我们到客户端,运行gpupdate /force或者登出重新登入电脑,等待一段时间,看证书是否自动注册。如果问题依旧,请查看以下注册表里的AEPolicy值是否为7,来确认组策略是否已经应用成功
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Cryptography\AutoEnrollment

    以下英文文章供您参考:
    https://social.technet.microsoft.com/wiki/contents/articles/3048.active-directory-certificate-services-ad-cs-troubleshooting-certificate-autoenrollment.aspx

    如果组策略已经应用成功,我们需要从注册这个环节进一步排查。

    以上是我的排查思路,希望能帮到您。

    此致!
              敬礼!
    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.


    2020年4月1日 3:28
  • 您好

    组策略来自动注册用户证书,这个已经做好了。

    查看注册表里找不到这项

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Cryptography\AutoEnrollment

    就是用具有本地管理员的帐号,计算机跟用户证书都可以。就是普通用户自动不行,手动操作的话是可以的。

    是不是这项功能被限制了,如果被限制了,可不可以通过组策略针对MMC以管理员身份运行,如果可以的话,不知道是哪一项是针对这个的。

    2020年4月1日 4:42
  • 您好!

    我这边在我环境下测试,发现普通用户也是可以自动注册证书的。从您提供的信息来看,似乎是组策略没有应用到当前用户。

    鉴于此,请收集以下信息排查:

    1. 请问此问题发生在所有普通用户还是部分?

    2. 您组策略链接到哪里了,是在OU还是在域上? 当前测试用户在此位置吗?

    3. 执行gpresult /h c:\test\report.html 查看您设置的组策略有没有被用户接收到。

    提示:请把文件路径改成您环境中的路径。

    请确认以上信息,如果有什么问题,您可以告知我们。

    此致!

          敬礼!

    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.


    2020年4月1日 8:09
  • 谢谢,经检查,是GPO没有运用到相关OU上
    2020年4月1日 14:25
  • 您好!

    请问GPO运用后,普通用户可以获取到证书了吗?

    此致!

          敬礼!

    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.

    2020年4月2日 5:47
  • 您好!

    请问我们的问题解决了吗?如果有任何我们可以帮忙的地方,欢迎联系我们。

    此致!

          敬礼!

    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.

    2020年4月7日 10:33