ในบทความนี้จะเป็นการแนะนำการ Auto Enroll CA บน AD (Active Directory) เพื่อให้ AD สามารถออก Certificate ให้กับ Specific user ที่ใช้งานภายใต้ Computer ที่ Join Domain ขององกรณ์ได้ โดยจะให้ผลลัพฑ์คือ คอมพิวเตอร์ทุกเครื่องที่ Join domain และ login ด้วย user ภายใน จำเป็นต้องได้รับอนุญาตจาก System Admin ก่อน จึงจะสามารถเข้าถึงบาง Zone หรือใช้งาน internet ได้
โดย Computer ที่เป็น AD (Active Directory) นั้นจะต้องผ่านการ promote เป็น DC (Domain Controller) และ ทำการ Add Role ADCS (Active Directory Certificate Services) ไว้แล้ว จึงจะสามารถ Auto Enroll CA ได้ สำหรับวิธีการทำต่อจากนั้น สามารถทำตามวิธีด้านล่างแบบ Step by step ได้เลยครับ
วิธีการ Configure CA AutoEnrollment
Step1: คลิก Start จากนั้นพิมพ์ Certification Authority > Enter
Step2: คลิกขวาที่ Certificate Template > Manage
Step3: คลิกขวา Workstation Authentication > Duplicate Template
Step4: เลือก Windows Server 2003 Enterprise
Step5: แถบ General ให้ตั้งชื่อ Template
Step6: แถบ Subject Name ให้ Check หน้า User principal name (UPN)
Step7: แถบ Security ให้เลือก Domain Computer จากนั้นให้ Allow Read, Enroll, Auto Enroll คลิก Apply จากนั้นคลิก OK
Step8: คลิกขวาที่ Users > Duplicate Template
Step9: เลือก Windows Server 2003 Enterprise
Step10: แถบ General ให้ตั้งชื่อ Template
Step11: แถบ Request Handing ให้ uncheck “Allow private key to be exported”
Step12: แถบ Extension คลิก Application Policies จากนั้นคลิก Edit
Step13: คลิก Add
Step14: เลือก Server Authentication > OK จากนั้น OK อีกครั้ง
Step15: แถบ Security เลือก Domain Users จากนั้น Allow Read, Enroll และ Autoenroll จากนั้นคลิก Apply > OK
Step16: ในหน้าต่าง CA คลิกขวาที่ Certificate Template > New > Certificate Template to Issue
Step17: เลือก Template ทั้งสองอันที่สร้างไว้ จากนั้นคลิก OK
Step18: พบว่า Templates ดังกล่าวได้ถูก Add เข้ามาแล้ว
Step19: คลิก Start พิมพ์ Group Policy Management จากนั้นคลิก Enter
Step20: Expand Group Policy Management > Domain > Default Domain Policy จากนั้นคลิก Edit ดังรูป
Step21: Expand Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies คลิกขวาที่ Certificate Services Client – Auto-Enrollment จากนั้นคลิก Properties
Step22: Enable Configuration Mode จากนั้น Check ทั้งสองช่องตามรูป คลิก Apply > OK
Step23: Expand User Configuration > Policies > Windows Settings > Public Key Policies คลิกขวาที่ Certificate Services Client – Auto-Enrollment จากนั้นคลิก Properties
Step24: Enable Configuration Mode จากนั้น Check ทั้งสองช่องตามรูป คลิก Apply > OK
Step25: คลิก Start จากนั้นพิมพ์ Active Directory Users and Computers
Step26: คลิกขวาที่ user ที่ต้องการ login ใช้งานกับเครื่อง Clients ภายใต้ Domain Controller จากนั้นคลิก Properties
Step27: fill E-mail information (this is an important part)
Step28: สามารถสร้าง Account ได้โดยคลิก Action > New > User
Step29: กรอกข้อมูล จากนั้นคลิก Next
Step30: กรอกข้อมูล จากนั้นคลิก Next
วิธีการตรวจสอบ CA Auto-Enrollment
Step1: Login เข้าไปยัง Clients ด้วย Users ที่ได้สร้างไว้
Step2: คลิก Start พิมพ์ “MMC” จากนั้นกด Enter
Step3: คลิก File > Add/Remove Snap-in…
Step4: คลิก Certificate > Add > จากนั้นเลือก Current User > OK
Step5: Expand Console > Certificate – Current User> Personal > Cerificates คลิกขวาที่ Cert คลิก Open
Step6: สังเกตว่าได้รับ Cert ที่ออกโดย Domain Controller และออกให้ User “wasit”