Поширення кореневого сертифіката за допомогою сервісів сертифікатів Windows AD

Windows Server надає послугу авторизації сертифікатів. Однак з його документації незрозуміло, як (або якщо) кореневий сертифікат поширюється на клієнтів.

• Чи автоматично комп'ютери-учасники домену довіряють кореневому сертифікату?
  • Якщо так, то як і коли вони отримують сертифікат?
• Чи потрібна взаємодія з користувачем для встановлення або довіри кореневого сертифіката?
• Чи опитується клієнт Active Directory? Це в AD DNS?
• Чи отримає це лише під час входу?
• Що робити, якщо учасник домену віддалено VPN в локальну мережу?
• Чи є застереження для різних версій клієнтів Windows?

Метод, який використовується для розподілу, залежить від типу CA, який ви встановили (окремий / підприємство).

Для автономного або немікрософтного ЦС ви зазвичай поширюєте це за допомогою групової політики.

Побачити:

• Пов'язане запитання: SF: Як розгорнути внутрішній орган сертифікації?
• TechNet: Використовуйте політику для розповсюдження сертифікатів

При встановленні авторизованого сертифікату Enterprise у домені це відбувається автоматично.

Від TechNet: Органи сертифікації підприємств (Архів тут )

Коли ви встановлюєте корпоративну кореневу службу корпорації, він використовує групову політику для поширення свого сертифіката до магазину сертифікатів довірених кореневих сертифікатів для всіх користувачів та комп'ютерів у домені.

Це мій досвід, що коли ви встановите CA і Cert зберігаються в ADDS, комп'ютер захопить його при наступному завантаженні та зберігатиме в надійному кореневому магазині комп'ютера. Я, як правило, розміщую CA у всіх доменах AD, якими я керую, оскільки він відкриває варіанти використання CA для всіх потреб ваших сертифікатів, з будь-якою додатковою роботою для комп'ютерів-членів домену. Сюди входить Windows Server 2008 R2 SSTP VPN або L2TP IPSec, який використовує сертифікати. Традиційний PPTP не використовує сертифікати.

Трохи не пов’язані між собою, але якщо ви хочете, щоб люди під час входу входили до VPN , вам слід використовувати GPO для натискання конфігурації VPN або під час створення вручну VPN на комп'ютері, встановіть прапорець "зробити доступним для всіх користувачів", який зберігає конфігурацію VPN у загальнодоступний профіль, а не конкретний профіль користувачів. Після цього, перед входом у систему, натисніть кнопку користувача перемикача (vista / 7), і ви побачите нову піктограму VPN внизу праворуч, натиснувши кнопку відключення. Це вирішує проблему "входу нового користувача, не спочатку в мережі".

Нарешті, коли ви створюєте кореневу службу CA, переконайтеся, що вона працює під керуванням Windows Enterprise або служба сертифікатів буде калікою (у стандартній редакції), і я не заробляв би термін дії менше, ніж на 10 років, щоб заощадити вас на майбутньому.

Стандартна практика - розповсюджувати будь-які сертифікати довірених коренів, в тому числі у вашому власному домені, через об’єкти групової політики (GPO). Це можна зробити, створивши нову групову групу із належним зв'язком та фільтруванням безпеки проти комп'ютерів домену та контролерів домену BUILTIN групи безпеки. Це гарантує, що об'єкт, що приєднався до домену комп'ютера Windows, має стандартизований набір довірених сертифікатів Root.

Саму групову організацію можна знайти Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesі вказати правильний магазин. Потім клієнти отримуватимуть політику після перезавантаження та / або під час наступного інтервалу обробки GPO, який можна примусити використовувати gpupdate /forceкоманду.