为 Windows 计算机部署客户端证书

在这篇文章中，我们将看到为 Windows 计算机部署客户端证书的步骤。这篇文章是为 SCCM 2012 R2 部署 PKI 证书分步指南的一部分。在上一篇文章中，我们了解了 SCCM 2012 R2 的 PKI 证书要求，以及如何为运行 IIS 的站点系统部署 Web 服务器证书。下一步是为 Windows 计算机部署客户端证书。您可以使用根域管理员帐户或企业域管理员帐户登录，并使用此帐户执行此示例部署中的所有过程。

Windows 计算机的此证书部署具有以下过程：

1）在证书颁发机构创建并颁发工作站认证证书模板

2) 使用组策略配置工作站身份验证模板的自动注册

3) 自动注册工作站认证证书并验证其在计算机上的安装

在证书颁发机构上创建并颁发工作站身份验证证书模板

在运行证书颁发机构控制台的成员服务器上，右键单击证书模板，然后单击管理加载证书模板管理控制台。在结果窗格中，右键单击模板显示名称列中显示工作站身份验证的条目，然后单击复制模板。

在新模板的属性对话框中的常规选项卡上，输入模板名称以生成将在 Configuration Manager 客户端计算机上使用的客户端证书，例如 SCCM 客户端证书。

单击安全选项卡，选择域计算机组，然后选择读取和自动注册附加权限。不要清除注册。单击确定并关闭证书模板控制台。

在证书颁发机构控制台中，右键单击证书模板，单击新建，然后单击要颁发的证书模板。在启用证书模板对话框中，选择您刚刚创建的新模板SCCM客户端证书，然后单击确定。关闭认证机构。

使用组策略配置工作站身份验证模板的自动注册

在域控制器上，启动组策略管理。导航到您的域，右键单击该域，然后选择在此域中创建 GPO，然后在此处链接。在新建 GPO 对话框中，输入新组策略的名称，例如自动注册证书，然后单击确定

在结果窗格中的链接的组策略对象选项卡上，右键单击新的组策略，然后单击编辑。在组策略管理编辑器中，展开计算机配置下的策略，然后导航至Windows 设置 > 安全设置 > 公钥策略。右键单击名为证书服务客户端 - 自动注册的对象类型，然后单击属性

从配置模型下拉列表中，选择启用，选择续订过期证书、更新待处理证书和删除吊销证书，选择 >更新使用证书模板的证书，然后单击确定。关闭 GPMC。

自动注册工作站身份验证证书并验证其在计算机上的安装

在上述步骤中，我们使用组策略配置了工作站身份验证模板的自动注册。此过程将在计算机上安装客户端证书并验证安装。重新启动工作站计算机，并等待几分钟再登录。使用 mmc 命令打开证书管理单元对话框，选择计算机帐户，然后单击下一步。在选择计算机对话框中，确保选择本地计算机：（运行此控制台的计算机），然后单击完成。在控制台中，展开证书（本地计算机），展开个人，然后单击证书。在结果窗格中，确认显示的证书在预期用途列中显示了客户端身份验证，并且显示了SCCM 客户端证书在证书模板列中。关闭控制台。

您需要对成员服务器重复相同的步骤，以验证将配置为管理点的服务器是否也具有客户端证书。计算机现已配置有 Configuration Manager 客户端证书。