এটি আমি উইন্ডোজ 2012 আর 2 এবং এর চেয়েও উচ্চতর ব্যবহার করেছি। সমস্ত পাওয়ারশেল কোড একটি উন্নত পাওয়ারশেল প্রম্পট থেকে চালিত হয়েছিল was সম্পূর্ণ অটোমেশন ব্যবহারকারীর জন্য একটি অনুশীলন হিসাবে বাকি আছে।
পূর্বশর্ত
নিশ্চিত হয়ে নিন যে আপনার শংসাপত্রের সার্ভারে আপনার কোনও টেম্পলেট রয়েছে যার সাবজেক্ট ট্যাবে "অনুরোধে সরবরাহ করা" রেডিও বোতামটি রয়েছে। কারণ এটি কোনও AD মেশিন নয়, শংসাপত্রের সার্ভারটি তথ্যের জন্য সক্রিয় ডিরেক্টরিটি পর্যাপ্ত পরিমাণে জিজ্ঞাসা করতে পারে না।
রুট রফতানি করুন
আপনার শংসাপত্র সার্ভারে বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষের শংসাপত্রটি রফতানি করুন এবং তারপরে সেই শংসাপত্র ফাইলটি আপনার টার্গেট সার্ভারে অনুলিপি করুন
certutil --% -ca.cert <name of certificate file>
রুটকে বিশ্বাস করুন
আপনার টার্গেট সার্ভারে বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষের শংসাপত্রটি আমদানি করুন
$PathToCertificate=<name of certificate file>
$RootCertificate=Get-PfxCertificate -FilePath $PathToCertificate
$AlreadyExists=Get-ChildItem -Path "Cert:\LocalMachine\Root" | Where-Object { $_.Thumbprint -eq $RootCertificate.Thumbprint }
if ($AlreadyExists -eq $null) { Import-Certificate -CertStoreLocation "Cert:\LocalMachine\Root" -FilePath $PathToCertificate }
else { Write-Warning "Root certificate already installed" }
সক্রিয় ডিরেক্টরি নীতি সরবরাহকারী ider
সক্রিয় ডিরেক্টরি নীতি সরবরাহকারীর জন্য URL নির্ধারণ করুন
# Get AD Configuration Context
$RootDSE=[System.DirectoryServices.DirectoryEntry]::new("LDAP://RootDSE")
$ConfigContext="CN=Enrollment Services,CN=Public Key Services,CN=Services,"+$RootDSE.configurationNamingContext
# Get name of Enterprise Root Certificate Autority server
$Server=Get-ADObject -SearchBase $ConfigContext -Filter "*"
if ($Server.Count -eq 1) { throw "No Enterprise Root Certificate Autority server exists" }
else { $Server=$Server[1].Name }
# Get Enrollment URL
$ConfigContext="CN=$Server,"+$ConfigContext
$EnrollmentURL=(Get-ADObject -SearchBase $ConfigContext -Filter "*" -Properties "msPKI-Enrollment-Servers" | Select-Object -ExpandProperty "msPKI-Enrollment-Servers").Split("`n") | Where-Object { $_ -like "http*" }
if ($EnrollmentURL -eq $null) { $EnrollmentURL="" }
# Get AD Enrollment Policy URL
$Server=$Server+$RootDSE.configurationNamingContext.Value.Replace("CN=Configuration","").Replace(",DC=",".")
$WMI=Get-WmiObject -ComputerName $Server -Namespace "root\WebAdministration" -Class Application | Where-Object { $_.Path -eq "/ADPolicyProvider_CEP_UsernamePassword" }
if ($WMI -ne $null) { $PolicyURL="https://"+$Server+$WMI.Path+"/service.svc/CEP" }
else { $PolicyURL="" }
Write-Output "Enrollment URL = $EnrollmentURL"
Write-Output "Policy URL = $PolicyURL"
তালিকাভুক্তি নীতি
টার্গেট সার্ভারে তালিকাভুক্তি নীতি যুক্ত করুন (এটি কেবল উইন্ডোজ 2012 এবং এর চেয়ে বেশি ক্ষেত্রে কাজ করে G জিইউআই নির্দেশাবলীর জন্য নীচে দেখুন)। নন-ডোমেন টেম্পলেট তৈরি করার পরে নীতিটি যুক্ত হয়েছে তা নিশ্চিত করুন, নীতিটি রিফ্রেশ না হওয়ার কারণে এটি প্রদর্শিত হবে না।
$User="<your domain name>\<your domain user name>"
$Pass="<Your domain password>"
$SecPass=ConvertTo-SecureString -String $Pass -AsPlainText -Force
$Cred=[System.Management.Automation.PSCredential]::new($User,$SecPass)
Add-CertificateEnrollmentPolicyServer -Url $PolicyURL -context Machine -NoClobber -AutoEnrollmentEnabled -Credential $Cred
শংসাপত্র পান
আপনার এখন পছন্দসই টেম্পলেট ব্যবহার করে শংসাপত্রের জন্য তালিকাভুক্ত হওয়া উচিত
$DNS="<FQDN of your server>"
$URL=Get-CertificateEnrollmentPolicyServer -Scope All -Context Machine | Select-Object -ExpandProperty Url | Select-Object -ExpandProperty AbsoluteUri
$Enrollment=Get-Certificate -Url $URL -Template "<Template name (not display name)>" -SubjectName "CN=$DNS" -DnsName $DNS -Credential $Cred -CertStoreLocation cert:\LocalMachine\My
$Enrollment.Certificate.FriendlyName=$DNS
এনরোলমেন্ট নীতি প্রাক উইন্ডোজ 2012 আর 2
- শংসাপত্রগুলি এমএমসি খুলুন
- ব্যক্তিগত শংসাপত্রের দোকানে ড্রিল করুন
- "শংসাপত্রগুলি" রাইট ক্লিক করুন এবং সমস্ত টাস্ক / অ্যাডভান্সড অপারেশনস / ম্যানেজ সেল্ট করুন
- প্রসঙ্গ মেনু থেকে তালিকাভুক্তি নীতিসমূহ
- "যোগ করুন" বোতামটি ক্লিক করুন
- তালিকাভুক্তি নীতিমালার জন্য URL টি আটকান
- প্রমাণীকরণের ধরন হিসাবে ব্যবহারকারীর নাম / পাসওয়ার্ড নির্বাচন করুন
- "বৈধ সার্ভার" বোতামটি ক্লিক করুন এবং ডোমেন সহ আপনার ডোমেন শংসাপত্রগুলি প্রবেশ করান
- ধরে নিই যে আপনি সফলভাবে যাচাই করতে সক্ষম হয়েছেন, "যুক্ত করুন" বোতামটি ক্লিক করুন
- তালিকাভুক্তি নীতিটি নির্বাচন করুন এবং "সম্পত্তি" বোতামটি ক্লিক করুন
- "স্বয়ংক্রিয় তালিকাভুক্তি এবং পুনর্নবীকরণের জন্য সক্ষম" বক্সটি চেক করা আছে কিনা তা নিশ্চিত করুন
- আমি কখনই "তালিকাভুক্তির সময় দৃ valid় বৈধতা প্রয়োজন" যাচাই করি নি তাই এটি কী করে তা আমি জানি না