【Windows Server 2008】如何自動完成安裝與更新使用者之數位憑證－.::MySpaces‧Your Home::.

天哪！公司電腦有百台之多，使用者有千位之多，怎麼做才能讓每位使用者皆能夠安裝屬於自己的個人憑證呢？在網域內進行大量重複性之動作時，可千萬別忘了群組原則這位IT人員的好幫手哦！這部分筆者將於Windows Server 2008上說明該如何進行相關設定及驗證。

本次範例中包含三台伺服器：PY-AD-01、PY-CA-01、PY-PC-01，PY-AD-01負責Active Directory網域驗證、PY-CA-01由ADCS負責憑證管理。
在PY-CA-01憑證伺服器上，按下「開始\執行」，在「執行視窗」中輸入mmc，按下「確定」，則會開啟「主控台1 視窗」
在「主控台1 視窗」上，按下「檔案(F)\新增移除嵌入式管理單元(M)」，在「新增或移除嵌入式管理單元視窗」中，新增「憑證授權單位(本機)及憑證範本」
在「憑證範本」區段中，按一下「使用者」，滑鼠右鍵按一下，於快速選單中按下「複製範本(U)」
在「重複的範本視窗」中，按下「Windows Server 2008 Enterprise Edition」後，再按「確定」，則會開啟「新範本的內容視窗」
在「新範本的內容視窗」中，在「一般標籤頁」上設定：「範本顯示名稱」：自動註冊使用者的憑證；勾選「將憑證發佈到Active Directory(P)」
在「處理要求標籤頁」上，確認已選取「直接註冊主體，不需要使用者輸入(E)」
在「安全性標籤頁」上，將所要賦予自動註冊憑證的使用者群組，給予「讀取、註冊及自動註冊」之三項權限，此處範例以Domain Users網域群組為例，完成後，按下「套用」、「確定」。
以上之設定為建立憑證範本，而接下來則說明如何發行剛剛所建立之憑證範本。選擇「憑證授權單位\伺服器名稱\憑證範本」，滑鼠右鍵按一下，於快速選單中，選擇「新增(N)\要發出的憑證範本(T)」，則會開啟「啟用憑證範本視窗」
在「啟用憑證範本視窗」中，選擇稍早所建立之心憑證範本「自動註冊使用者的憑證」，按下「確定」
在PY-AD-01網域控制站上，按下「開始\系統管理工具\群組原則管理」。
新增一群組原則「自動註冊使用者的憑證」，於設定頁面中，展開至「使用者設定\原則\Windows設定\安全性設定\公開金鑰原則」，於右半邊視窗中，按兩下「憑證服務用戶端 – 自動註冊」，則會開啟「憑證服務用戶端 – 自動註冊內容視窗」
在「憑證服務用戶端 – 自動註冊內容視窗」中，設定模型(C)：選擇「啟用」；勾選「更新過期的憑證，更新擱置中的憑證並移除測銷的憑證(R)、更新使用憑證範本的憑證(U)」核取方塊，完成後按下「確定」
經過以上辛苦的設定，又該如何得知用戶端憑證已自動註冊成功呢？則可至網域內用戶端檢查事件檢視器。
在憑證伺服器端又該如何驗證呢？則可開啟「開始\系統管理工具\憑證授權單位\已發出的憑證」，可查閱到目前已發出之憑證申請。