生成密钥及从 SCEP 服务器获取和注册证书
在机器上生成密钥时,可以请求简单证书注册协议 (SCEP) 服务器颁发证书。SCEP 颁发的证书会自动注册到机器中。还可以在指定日期和时间生成密钥并请求颁发证书。
有关本机可生成的密钥算法,以及可请求颁发的证书的详细信息,请参阅自生成密钥和证书签名请求 (CSR) 的规范。密钥和证书
本机仅支持 Windows Server 2008 R2、Server 2012 R2 和 Server 2016 中 SCEP 服务器的网络设备注册服务 (NDES)。不支持 HTTPS 通信。
有关本机可生成的密钥算法,以及可请求颁发的证书的详细信息,请参阅自生成密钥和证书签名请求 (CSR) 的规范。密钥和证书
本机仅支持 Windows Server 2008 R2、Server 2012 R2 和 Server 2016 中 SCEP 服务器的网络设备注册服务 (NDES)。不支持 HTTPS 通信。
要从 SCEP 服务器获取和注册证书,请配置与 SCEP 服务器进行通信的设置,然后生成密钥并请求颁发证书。也可以配置在指定日期和时间请求颁发证书的设置。
配置 SCEP 服务器通信设置
在计算机中使用远程用户界面配置此设置。无法使用控制面板配置此设置。
需要管理员权限。
需要管理员权限。
需要进行的准备
准备好 SCEP 服务器的 URL 和端口号。
1
以管理员身份登录远程用户界面。启动远程用户界面
2
在远程用户界面的门户页面上,单击 [设置/注册]。远程用户界面门户页面
3
单击 [设备管理] 
[证书颁发请求的设置(SCEP)] [通信设置]。
[证书颁发请求的设置(SCEP)] [通信设置]。随即显示 [通信设置] 屏幕。
4
指定 SCEP 服务器信息。
[SCEP服务器URL]
输入要连接的 SCEP 服务器的 URL。
[端口号]
输入用于与 SCEP 服务器通信的端口号。
[通信超时]
输入从通信开始到超时的秒数。
5
单击 [更新]。
将应用设置。
6
从远程用户界面注销。
申请密钥生成和证书颁发
在计算机中使用远程用户界面申请密钥生成和证书颁发。您不能使用控制面板进行此操作。
需要管理员权限。获取证书后必须重新启动机器。
需要管理员权限。获取证书后必须重新启动机器。
* 如果启用了在指定日期和时间要求颁发证书的设置,则不能使用此方法要求颁发证书。请求在指定日期和时间颁发证书
1
以管理员身份登录远程用户界面。启动远程用户界面
2
在远程用户界面的门户页面上,单击 [设置/注册]。远程用户界面门户页面
3
单击 [设备管理] [证书颁发请求的设置(SCEP)] [证书颁发请求]。
[证书颁发请求的设置(SCEP)] [证书颁发请求]。随即显示 [证书颁发请求] 屏幕。
4
设置密钥和证书信息。
[密钥名称]
使用字母数字字符输入密钥名称。
[签名算法]
从下拉菜单中选择签名算法。
[密钥长度(bit)]
从下拉菜单中选择密钥长度。值越大,安全性就越高,但这也会减慢通信处理的速度。
[组织]
根据需要使用字母数字字符输入组织名称。
[通用名称]
根据需要使用字母数字字符输入证书主题的名称。这与通用名称 (CN) 相对应。
[已发行至(替代名称)]
根据需要输入要为主题替代名称 (SAN) 设置的 IP 地址或域。
如果不配置 [已发行至(替代名称)] 设置,请选择 [不设置] 复选框。
在 [IP地址] 中只能设置 IPv4 地址。
[质询密码]
如果为 SCEP 服务器设置了密码,请使用字母数字字符输入用于请求颁发的密码。
[密钥使用位置]
选择使用生成密钥的位置。如果位置未定,请选择[无]。如果选择 [IPSec],请从下拉菜单中选择要在该位置使用的 IPSec。
5
单击 [发送请求] [确定]。
[确定]。颁发证书的请求将发送到 SCEP 服务器。
6
当显示 [已获取证书。单击[重新启动]以重新启动设备。] 时,请单击 [重新启动]。
机器重新启动,并且将注册密钥和证书。
注释
查看颁发请求状态和错误信息
单击 [设置/注册] [设备管理] [证书颁发请求的设置(SCEP)] [证书颁发请求状态] 查看详细信息。
如未颁发证书,将在证书颁发请求状态中显示错误。有关消息和问题解决方式的详细信息,参阅以下内容:
[设备管理] [证书颁发请求的设置(SCEP)] [证书颁发请求状态] 查看详细信息。如未颁发证书,将在证书颁发请求状态中显示错误。有关消息和问题解决方式的详细信息,参阅以下内容:
查看和检查已注册证书的详细信息
单击 [设置/注册] [设备管理] [密钥和证书设置],然后单击密钥和证书列表中的密钥名称(或证书图标)以显示证书详细信息。
[设备管理] [密钥和证书设置],然后单击密钥和证书列表中的密钥名称(或证书图标)以显示证书详细信息。在证书详细信息屏幕上,单击 [校验证书] 以检查证书是否有效。
无法删除密钥和证书时
无法删除正在使用的密钥和证书。禁用正在使用的功能,或切换到其他密钥和证书后再删除这些密钥和证书。
请求在指定日期和时间颁发证书
您可以要求在指定日期和时间颁发证书。还可以设置定期请求颁发证书。
在计算机中使用远程用户界面配置此设置。无法使用控制面板配置此设置。
需要管理员权限。
需要管理员权限。
1
以管理员身份登录远程用户界面。启动远程用户界面
2
在远程用户界面的门户页面上,单击 [设置/注册]。远程用户界面门户页面
3
单击 [设备管理] [证书颁发请求的设置(SCEP)] [证书自动颁发请求设置]。
[证书颁发请求的设置(SCEP)] [证书自动颁发请求设置]。随即显示 [证书自动颁发请求设置] 屏幕。
4
选中 [启用证书自动颁发请求定时器] 复选框,然后输入请求颁发证书的开始日期和时间。
5
根据需要配置自动颁发请求的设置。
[自动调整颁发请求时间]
要调整证书颁发请求时间,请选中此复选框。
申请证书的开始时间最多可随机调整 10 分钟,以降低 SCEP 服务器的负载。
申请证书的开始时间最多可随机调整 10 分钟,以降低 SCEP 服务器的负载。
[出现通信错误时或颁发请求延迟时执行轮询]
在证书颁发延迟等情况下检查 SCEP 服务器的状态。选中此复选框,然后输入轮询重试次数和间隔时间。
* 在下列情况中,会发生错误而不执行轮询:
当机器超过了它可以注册的密钥和证书的数量上限时
当获取的响应数据发生错误时
当 SCEP 服务器发生错误时
[发送定期颁发请求]
定期自动地请求颁发证书。选中此复选框,然后从下拉菜单中选择颁发请求间隔。
启用此设置会重置请求颁发证书的开始日期和时间。
启用此设置会重置请求颁发证书的开始日期和时间。
[获取证书后自动重新启动设备]
选择该复选框可在获取证书后重新启动机器。
[删除旧密钥和旧证书]
选择此复选框可覆盖位置与密钥使用位置相同的密钥和证书。
6
在 [要颁发的密钥和证书设置] 中设置密钥和证书信息。
[密钥名称]
使用字母数字字符输入密钥名称。
[签名算法]
从下拉菜单中选择签名算法。
[密钥长度(bit)]
从下拉菜单中选择密钥长度。值越大,安全性就越高,但这也会减慢通信处理的速度。
[组织]
根据需要使用字母数字字符输入组织名称。
[通用名称]
根据需要使用字母数字字符输入证书主题的名称。这与通用名称 (CN) 相对应。
[已发行至(替代名称)]
根据需要输入要为主题替代名称 (SAN) 设置的 IP 地址或域。
如果不配置 [已发行至(替代名称)] 设置,请选择 [不设置] 复选框。
在 [IP地址] 中只能设置 IPv4 地址。
[质询密码]
如果为 SCEP 服务器设置了密码,请使用字母数字字符输入用于请求颁发的密码。
[密钥使用位置]
选择使用生成密钥的位置。如果位置未定,请选择[无]。如果选择 [IPSec],请从下拉菜单中选择要在该位置使用的 IPSec。
7
单击 [更新]。
将应用设置。
8
从远程用户界面注销。
注释
查看颁发请求状态和错误信息
点击 [设置/注册] [设备管理] [证书颁发请求的设置(SCEP)] [证书颁发请求状态] 查看详细信息。
如未颁发证书,将在证书颁发请求状态中显示错误。有关消息和问题解决方式的详细信息,参阅以下内容:
[设备管理] [证书颁发请求的设置(SCEP)] [证书颁发请求状态] 查看详细信息。如未颁发证书,将在证书颁发请求状态中显示错误。有关消息和问题解决方式的详细信息,参阅以下内容:
查看和检查已注册证书的详细信息
单击 [设置/注册] [设备管理] [密钥和证书设置],然后单击密钥和证书列表中的密钥名称(或证书图标)以显示证书详细信息。
[设备管理] [密钥和证书设置],然后单击密钥和证书列表中的密钥名称(或证书图标)以显示证书详细信息。在证书详细信息屏幕上,单击 [校验证书] 以检查证书是否有效。
无法删除密钥和证书时
无法删除正在使用的密钥和证书。禁用正在使用的功能,或切换到其他密钥和证书后再删除这些密钥和证书。