34、保障 Windows Server 2022 安全：证书自动注册与 DNS 基础设施防护

保障 Windows Server 2022 安全：证书自动注册与 DNS 基础设施防护

1. OCSP 响应器与证书自动注册

OCSP 响应器启动并运行后，当呈现证书时，OCSP 服务能实时响应，表明证书是否仍然有效或已被吊销。接下来，我们将介绍如何配置证书自动注册。

1.1 配置证书模板

若要实现某些证书的自动注册，例如用户证书用于虚拟专用网络（VPN）连接或双因素身份验证（2FA），可按以下步骤设置用户证书模板以实现自动注册：
1. 从服务器管理器中，选择“工具”➪“证书颁发机构”。
2. 双击 CA 名称以展开它。
3. 右键单击“证书模板”，并选择“管理”。
4. 选择“用户”证书模板，右键单击它，然后选择“复制模板”。修改证书模板时，始终选择“复制模板”，因为使用现成模板时，自定义模板可能会在更新或升级时被覆盖。
5. 在“兼容性”选项卡上，将“证书颁发机构”下拉列表更改为你拥有的最低版本的 CA。对“收件人”下拉列表也进行相同操作，选择你拥有的最低服务器/桌面版本。
6. 选择“常规”选项卡，并为模板命名，例如“VPN 用户证书”。
7. 选择“安全”选项卡。
8. 选择“域用户”，并勾选“读取”和“自动注册”，“注册”选项通常已默认选中。
9. 点击“确定”。
10. 点击右上角的“X”关闭“证书模板控制台”。
11. 再次右键单击“证书模板”，这次选择“新建”➪“要颁发的证书模板”。
12. 选择你新创建的“VPN 用户证书”（或在步骤 6 中命名的名称），然后点击“确定”。

此时，CA 已设置为颁发新的用户证书。接下来