憑證註冊方法

在部署 ADCS的環境中, 使用者或電腦可以透過多種方式註冊憑證, 包括自動註冊、手動註冊、CA 網站註冊與代理註冊, 以下是各種註冊方法的說明與使用方式:

1. 自動註冊(Autoenrollment)

。用途: 適合 AD內部大量使用者或電腦需要自動獲得憑證的情境, 如用於使用者登入、電腦驗證、EFS、IPSec 等

。使用方式:

--需要企業 CA與 AD群組原則(GPO)支援

--開啟 GPO, 啟用憑證自動註冊

--憑證範本需設定為「允許自動註冊」並授權目標主體(例如電腦或使用者)讀取與註冊權限

--當裝置開機或使用者登入會自動註冊與續約憑證

2. 手動註冊(Manual Enrollment)

。用途: 用於測試或特定自訂需求, 或是無法使用自動註冊的裝置

。使用方式:

--使用者透過 MMC主控台手動提出憑證要求w-studio.idv.tw

--通常需要 CA管理員人工核准(取決於憑證範本的設定)

3. CA網站註冊(Web Enrollment)

。用途: 適用於無法加入網域的電腦、第三方系統或跨平台裝置申請憑證

。使用方式:

--須安裝 CA的「Web Enrollment」角色服務

--使用者透過網頁(例如 http://<CA_Server>/certsrv)手動提出憑證請求

--支援線上下載憑證及憑證鏈

4. 代理註冊(Enrollment Agent / Enrollment on Behalf)

。用途: 適用於 IT管理員幫助其他使用者(如來賓帳號、服務帳號)申請憑證

。使用方式:

--CA管理員必須先授權某使用者為註冊代理人(Enrollment Agent)

--使用者需使用憑證註冊代理人憑證登入

--應用情境: 智慧卡註冊、Kiosk 帳戶、代管帳戶註冊等