Distribuição do certificado raiz com os Serviços de Certificados do Windows AD

Navegue suas respostas
14

O Windows Server fornece um serviço de autoridade de certificação. No entanto, não está claro em sua documentação como (ou se) o certificado raiz é distribuído aos clientes.

  • Os computadores membros do domínio confiam automaticamente no certificado raiz?
    • Se sim, como e quando recebem o certificado?
  • Existe alguma interação do usuário necessária para o certificado raiz ser instalado ou confiável?
  • O cliente pesquisa o Active Directory? Está no DNS do AD?
  • Será que só vai conseguir durante o login?
  • E se um membro do domínio fizer VPNs remotamente na LAN?
  • Há alguma limitação para diferentes versões de clientes Windows?
por wfaulk 10.02.2012 / 23:51

2 respostas

17

O método usado para distribuição depende do tipo de CA que você configura (autônomo / corporativo).

Para uma CA autônoma ou não da Microsoft, você geralmente distribui isso com uma política de grupo.

Veja:

Quando você instala uma autoridade de certificação Enterprise em um domínio, isso acontece automaticamente.

Do TechNet: Autoridades de certificação da empresa (Arquivado aqui .)

When you install an enterprise root CA, it uses Group Policy to propagate its certificate to the Trusted Root Certification Authorities certificate store for all users and computers in the domain.

    
por 10.02.2012 / 23:53
4

A minha experiência é que, uma vez que você configura a CA e o Cert é armazenado no ADDS, um computador o agarra na próxima inicialização e o armazena no armazenamento de raiz confiável do computador. Em geral, coloco as CAs em todos os domínios do AD que eu gerencio, pois elas abrem opções para usar a CA para todas as suas necessidades de certificado sem nenhum trabalho adicional para os computadores membros do domínio. Isso inclui a VPN SSTP do Windows Server 2008 R2 ou o IPSec L2TP que usa certificados. O PPTP tradicional não usa certificados.

Ligeiramente não relacionado, mas se você quiser que as pessoas façam login VPN durante , use o GPO para enviar uma configuração VPN ou, quando criar manualmente a VPN em um computador, marque a opção "disponibilizar para todos users "box que armazena a configuração da VPN no perfil público em vez do perfil de usuários específicos. Uma vez feito isso, antes do login, clique no botão de troca de usuário (vista / 7) e você verá um novo ícone VPN no canto inferior direito do botão de desligamento. Isso resolve o problema de "um novo usuário fazer login sem estar na rede primeiro".

Por último, quando você cria a CA raiz, verifique se ela está executando o Windows Enterprise ou se o Serviço de Certificados será paralisado (na ed. Standard) e se a expiração não durar menos de 10 anos para economizar algum trabalho na futuro.

    
por 11.02.2012 / 00:30

Tags

Ubuntu Server pendurado na adição de swap nginx reescrita insensível a maiúsculas e minúsculas