วิธีการ Auto Enroll CA บน Windows Server 2008 R2

ในบทความนี้จะเป็นการแนะนำการ Auto Enroll CA บน AD (Active Directory) เพื่อให้ AD สามารถออก Certificate ให้กับ Specific user ที่ใช้งานภายใต้ Computer ที่ Join Domain ขององกรณ์ได้ โดยจะให้ผลลัพฑ์คือ คอมพิวเตอร์ทุกเครื่องที่ Join domain และ login ด้วย user ภายใน จำเป็นต้องได้รับอนุญาตจาก System Admin ก่อน จึงจะสามารถเข้าถึงบาง Zone หรือใช้งาน internet ได้
โดย Computer ที่เป็น AD (Active Directory) นั้นจะต้องผ่านการ promote เป็น DC (Domain Controller) และ ทำการ Add Role ADCS (Active Directory Certificate Services) ไว้แล้ว จึงจะสามารถ Auto Enroll CA ได้ สำหรับวิธีการทำต่อจากนั้น สามารถทำตามวิธีด้านล่างแบบ Step by step ได้เลยครับ

วิธีการ Configure CA AutoEnrollment

Step1: คลิก Start จากนั้นพิมพ์ Certification Authority > Enter

Step2: คลิกขวาที่ Certificate Template > Manage

Step3: คลิกขวา Workstation Authentication > Duplicate Template

Step4: เลือก Windows Server 2003 Enterprise

Step5: แถบ General ให้ตั้งชื่อ Template

Step6: แถบ Subject Name ให้ Check หน้า User principal name (UPN)

Step7: แถบ Security ให้เลือก Domain Computer จากนั้นให้ Allow Read, Enroll, Auto Enroll คลิก Apply จากนั้นคลิก OK

Step8: คลิกขวาที่ Users > Duplicate Template

Step9: เลือก Windows Server 2003 Enterprise

Step10: แถบ General ให้ตั้งชื่อ Template

Step11: แถบ Request Handing ให้ uncheck “Allow private key to be exported”

Step12: แถบ Extension คลิก Application Policies จากนั้นคลิก Edit

Step13: คลิก Add

Step14: เลือก Server Authentication > OK จากนั้น OK อีกครั้ง

Step15:  แถบ Security เลือก Domain Users จากนั้น Allow Read, Enroll และ Autoenroll จากนั้นคลิก Apply > OK

Step16: ในหน้าต่าง CA คลิกขวาที่ Certificate Template > New > Certificate Template to Issue

Step17: เลือก Template ทั้งสองอันที่สร้างไว้ จากนั้นคลิก OK

Step18: พบว่า Templates ดังกล่าวได้ถูก Add เข้ามาแล้ว

Step19: คลิก Start พิมพ์ Group Policy Management จากนั้นคลิก Enter

Step20: Expand Group Policy Management > Domain > Default Domain Policy จากนั้นคลิก Edit ดังรูป

Step21: Expand Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies คลิกขวาที่ Certificate Services Client – Auto-Enrollment จากนั้นคลิก Properties

Step22: Enable Configuration Mode จากนั้น Check ทั้งสองช่องตามรูป คลิก Apply > OK

Step23: Expand User Configuration > Policies > Windows Settings > Public Key Policies คลิกขวาที่ Certificate Services Client – Auto-Enrollment จากนั้นคลิก Properties

Step24: Enable Configuration Mode จากนั้น Check ทั้งสองช่องตามรูป คลิก Apply > OK

Step25: คลิก Start จากนั้นพิมพ์ Active Directory Users and Computers

Step26: คลิกขวาที่ user ที่ต้องการ login ใช้งานกับเครื่อง Clients ภายใต้ Domain Controller จากนั้นคลิก Properties

Step27: fill E-mail information (this is an important part)

Step28: สามารถสร้าง Account ได้โดยคลิก Action > New > User

Step29: กรอกข้อมูล จากนั้นคลิก Next

Step30: กรอกข้อมูล จากนั้นคลิก Next

 

วิธีการตรวจสอบ CA Auto-Enrollment

Step1: Login เข้าไปยัง Clients ด้วย Users ที่ได้สร้างไว้

Step2: คลิก Start พิมพ์ “MMC” จากนั้นกด Enter

Step3: คลิก File > Add/Remove Snap-in…

Step4: คลิก Certificate > Add > จากนั้นเลือก Current User > OK

Step5: Expand Console > Certificate – Current User> Personal > Cerificates คลิกขวาที่ Cert คลิก Open

Step6: สังเกตว่าได้รับ Cert ที่ออกโดย Domain Controller และออกให้ User “wasit”