Dystrybucja certyfikatu głównego za pomocą Usług certyfikatów Windows AD

Windows Server zapewnia usługę urzędu certyfikacji. Jednak z dokumentacji nie wynika jasno, w jaki sposób (lub czy) certyfikat główny jest dystrybuowany do klientów.

• Czy komputery należące do domeny automatycznie ufają certyfikatowi głównemu?
  • Jeśli tak, to w jaki sposób i kiedy otrzymują certyfikat?
• Czy wymagana jest interakcja użytkownika, aby certyfikat główny został zainstalowany lub zaufany?
• Czy klient odpytuje Active Directory? Czy to jest w AD DNS?
• Czy dostanie to tylko podczas logowania?
• Co się stanie, jeśli członek domeny zdalnie nawiązuje połączenia VPN z siecią LAN?
• Czy są jakieś zastrzeżenia dla różnych wersji klientów Windows?

Metoda stosowana do dystrybucji zależy od typu konfigurowanego urzędu certyfikacji (autonomiczny / korporacyjny).

W przypadku niezależnego urzędu certyfikacji lub innego niż Microsoft urzędu certyfikacji zazwyczaj rozpowszechnia się go za pomocą zasad grupy.

Widzieć:

• Powiązane pytanie: SF: Jak wdrożyć wewnętrzny urząd certyfikacji?
• TechNet: Użyj zasad do dystrybucji certyfikatów

Po zainstalowaniu urzędu certyfikacji przedsiębiorstwa w domenie dzieje się to automatycznie.

From TechNet: Urzędy certyfikacji przedsiębiorstw (zarchiwizowane tutaj .)

Podczas instalowania głównego urzędu certyfikacji przedsiębiorstwa używa zasad grupy do propagowania swojego certyfikatu do magazynu certyfikatów zaufanych głównych urzędów certyfikacji dla wszystkich użytkowników i komputerów w domenie.

Z mojego doświadczenia wynika, że ​​po skonfigurowaniu urzędu certyfikacji i zapisaniu certyfikatu w ADDS komputer pobierze go przy następnym uruchomieniu i zapisze w zaufanym głównym katalogu komputera. Zasadniczo umieszczam urzędy certyfikacji we wszystkich domenach AD, którymi zarządzam, ponieważ otwiera to opcje korzystania z urzędu certyfikacji dla wszystkich potrzeb związanych z certyfikatem bez dodatkowej pracy na komputerach należących do domeny. Dotyczy to Windows Server 2008 R2 SSTP VPN lub L2TP IPSec, który wykorzystuje certyfikaty. Tradycyjny PPTP nie używa certyfikatów.

Trochę niezwiązane, ale jeśli chcesz, aby ludzie korzystali z VPN podczas logowania, powinieneś użyć GPO do wypchnięcia konfiguracji VPN lub podczas ręcznego tworzenia VPN na komputerze zaznacz pole „Udostępnij wszystkim użytkownikom”, które przechowuje konfigurację VPN w profil publiczny, a nie określony profil użytkowników. Po wykonaniu tej czynności przed zalogowaniem kliknij przycisk przełączania użytkownika (vista / 7), a obok przycisku zamykania zobaczysz nową ikonę VPN w prawym dolnym rogu. To rozwiązuje problem „nowego użytkownika logującego się bez bycia najpierw w sieci”.

Na koniec, kiedy tworzysz główny urząd certyfikacji, upewnij się, że działa na nim system Windows Enterprise lub usługa certyfikacji zostanie sparaliżowana (w wersji Standard) i nie sprawię, że wygaśnięcie wyniesie mniej niż 10 lat, aby zaoszczędzić ci trochę pracy w przyszłości.

Standardową praktyką jest dystrybucja wszelkich certyfikatów Trusted Root, w tym we własnej domenie, za pośrednictwem obiektów zasad grupy (GPO). Można to zrobić, tworząc nowy obiekt zasad grupy z odpowiednim łączeniem i filtrowaniem zabezpieczeń w odniesieniu do komputerów domeny i kontrolerów domeny Grupy zabezpieczeń BUILTIN. Zapewnia to, że domena dołączona do obiektu komputera z systemem Windows ma ustandaryzowany zestaw certyfikatów Trusted Root.

Sam obiekt GPO można znaleźć w Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesodpowiednim sklepie i wyznaczyć go. Klienci otrzymają zasady po ponownym uruchomieniu i / lub podczas następnego okresu przetwarzania GPO, który można wymusić za pomocą gpupdate /forcepolecenia.