web-dev-qa-db-ja.com

信頼されたドメインの認証局から証明書を自動登録するにはどうすればよいですか?

2つの別々のフォレストに2つのActiveDirectoryドメインがあり、すべてWindows Server 2008R2の機能レベルにあります。ドメイン間には双方向のフォレストの信頼があります。

ドメインAには、Windows Server 2008 R2Enterpriseルート証明機関が含まれています。そのルート証明書は、ドメイン内のすべてのコンピューターによって信頼されています。ドメイン内の各コンピューターにコンピューター証明書を自動的に発行する自動登録ポリシーがあります(通常、複数のDCに)。

ドメインBには認証局が含まれていませんが、ドメインAのCAのルート証明書は、グループポリシーを介してドメイン内のすべてのコンピューターに信頼されたルート証明書として割り当てられるため、そのCAによって発行された証明書はすべて有効として扱われます。

ドメインBの自動登録ポリシーを構成して、ドメインBの各コンピューターがドメインAの認証局から証明書を自動的に要求して取得するようにできますか?

はいの場合、どのように?

1
Massimo

クロスフォレストの登録は、 http://technet.Microsoft.com/en-us/library/ff955842(v = ws.10).aspx にあるガイドに従って実行できます。これにより、自動登録をサポートするために必要なテンプレートとセキュリティプリンシパルがコピーされます。

警告:これはWeb登録をサポートするためにのみ使用したため、グループポリシーを介してプッシュできることを個人的に確認していません。そうは言っても、それができない場合は、CertUtilを呼び出す起動スクリプトを介して実行できることを私は知っています。

2
Mitch