準備DirectAccess環境

1. 開啟 ADDS主機的 DNS管理員, 新增主機(A)記錄

2. 建立 nls 及 crl 兩個主機(A)記錄

3. 再到 DA伺服器, 開啟網路連線的網路卡設定中, 選擇對外網路卡按右鍵點內容

4. 在 TCP/IPv4 項目中點內容

5. 在「一般」的標籤中, 按下進階按鈕

6. 在「DNS」標籤中, 在這個連線的 DNS尾碼中輸入網域名稱(例: wey.com)

7. 接著開啟憑證授權單位CA, 按右鍵點內容

8. 選擇「延伸」標籤, 在 CRL發佈點項目下點擊新增, 設定憑證撤銷清單

w-studio.idv.tw

9. 於位置中輸入 http://crl.wey.com/crld/[變數].crl, 其中的[變數]可參考下方說明欄

10. 設定好位置後, 勾選「包含在CRL中, 用戶端用此來尋找 Delta CRL的位置」「包含在已發行憑證的 CDP延伸中」

11. 再新增一個網路分享檔案位址 \\wey-router1\crldist$\[變數].crl, 其中的[變數]可參考下方說明欄

12. 接著勾選「在這個位置發佈 CRL」「發佈 Delta CRL到這個位置」

w-studio.idv.tw

13. 按下套用或確認後, 要重新啟動憑證服務才會生效

14. 接著選擇憑證範本, 按右鍵點擊管理

15. 在「電腦」範本上按右鍵選擇複製範本

16. 在「一般」標籤上, 輸入範本名稱, 有效期限依需求再修改

17. 在「安全性」標籤中, 在 Authenticated Users上, 權限勾選「註冊」及「自動註冊」

18. 完成複製範本

19. 再於憑證範本項目上按右鍵, 選擇新增-->要發出的憑證範本

20. 在啟用憑證範本中選擇剛剛建立的「電腦」範本

21. 完成建立「電腦」憑證範本

22. 最後可以點擊上方方塊鍵停止憑證服務, 再點擊箭頭鍵啟動憑證服務

23. 同樣在 ADDS主機上開啟群組原則管理, 於網域中的 Default Domain Policy按右鍵選擇編輯

24. 在群組原則管理編輯器中, 於 電腦設定\原則\Windows設定\安全性設定\公開金鑰原則 的項目中, 點擊用戶端憑證註冊原則及用戶端自動註冊作編輯

w-studio.idv.tw

25. 在用戶端憑證註冊原則設定模型選擇已啟用

26. 在用戶端自動註冊設定模型選擇已啟用, 勾選「更新到期憑證, 更新擱置中的憑證並移除撤銷的憑證」「更新使用憑證範本的憑證」

27. 來到用戶端主機, 準備驗證用戶端憑證發佈, 開啟主控台(mmc), 查看用戶端這時還沒有任何憑證

28. 輸入 gpupdate /force 指令, 再重新開機

29. 重新開啟主控台(mmc), 這時查看憑證的地方已經出現用戶端電腦自動註冊的憑證