配置对 Microsoft CA 服务器的直接认证中心访问权

证书集成模块是 SCEP 的替代方法,有助于从微软证书颁发机构服务器申请设备证书。 Cloud Extender ® 提供了一个功能部件,用于直接从 Microsoft 认证中心服务器获取证书,这些证书与 Cloud Extender 服务器位于同一森林或可信林中。

Cloud Extender 配置工具 设置

Cloud Extender 提供了新的模板类型 "直接 CA 证书" 模板。 配置直接 CA 证书模板时,需要进行以下设置。
  • Cloud Extender 必须与认证中心服务器位于同一林中。 在云扩展器上配置不同森林中的 Direct CA Certs 模板。 确保在云扩展器森林和证书颁发机构服务器森林之间建立双向信任。
  • 注意证书颁发机构服务器的完全合格域名 (FQDN)。
  • 请注意证书颁发机构服务器上默认定义的模板,一般为 mobiledevices
  • 云扩展器服务账户必须拥有 enrollread 权限,才能从证书颁发机构申请和下载证书。

配置对 Microsoft 认证中心的直接证书访问

  1. 从 " Cloud Extender 配置工具" 中的 " 证书集成 " 页面,单击 添加新模板证书模板 "部分展开。
  2. 选择证书颁发机构和颁发身份证书的方法。
  3. 选择 Microsoft CA,然后选择 用于电子邮件, Wi-Fi , VPN ,浏览器或逆向代理的用户认证 选项以创建设备身份证书。
  4. 选择 直接 CA 证书 以请求并下载设备身份证书。 显示 " 直接 CA 和服务帐户配置 "页面。
  5. Direct CA 部分,输入 Direct CA Certs 模板名称、证书颁发机构的完全合格域名 (FQDN) 和证书颁发机构服务器模板名称。
  6. 服务帐户配置 部分中,输入允许 Cloud Extender 从认证中心服务器获取证书的服务帐户凭证。 如果先前为另一个功能部件输入了服务帐户凭证,那么帐户凭证将自动填充配置字段。
    注意: 要使 Direct CA 证书正常工作,指定的账户必须在证书颁发机构服务器上拥有 enrollread 权限。
  7. 单击下一步。 显示 " 证书属性 "页面。
  8. 提供更多证书属性,如主体名称主体替代名称。 您还可以选择是否在本地高速缓存证书。
  9. 单击下一步。 显示 " 测试配置和配置高级设置 "页面。
  10. 在 " 测试配置 "部分,输入证书名称和其他必要的测试值,如用户名、电子邮件地址和用户主名称 (upn)。 测试值基于您创建的模板的特征。
  11. 配置高级设置 部分中,可以更改一些通常未更改的模板特征。 单击 高级 以查看和更改这些设置。
  12. 单击 测试测试并保存 以测试证书。 如果测试成功,那么将显示证书信息,包括指向文件系统上证书位置的链接。 如果发生错误并且证书测试失败,那么将显示一条消息,说明测试失败的原因。