Em uma PKI do Windows, para que serve um modelo de CA de autenticação de estação de trabalho? O que acontece se expirar?

5

Muitas estações de trabalho têm um certificado de computador expirado que foi emitido usando o modelo de autoridade de certificação de estação de trabalho. A CA deste modelo expira em 2 dias.

Eu implantei uma nova autoridade de certificação, com uma data estendida, e inscrevi muitas máquinas com sucesso neste fim de semana.

Agora estou preocupado com as estações de trabalho que estão desligadas ou que não receberam um novo certificado de computador da CA.

Q:

  • Para que são usados os certificados de estação de trabalho? Kerberos?
  • Os usuários / computadores poderão fazer o login na segunda-feira de manhã (data de expiração da publicação)?
  • Quando os certificados expirarem, será possível que as máquinas obtenham novos certificados?

Como estou usando o Windows 2012 R2, é possível que o NTLM de nível inferior seja usado como alternativa ao Kerberos e isso não seja um problema ... embora não tenha certeza se isso é aceitável em todos os casos: ( Por exemplo, inscrição DCOM de certificados)

    
por random65537 06.12.2014 / 16:21

3 respostas

9

• What are the Workstation Certificates used for? Kerberos?

Não. O Kerberos não usa certificados SSL / TLS. **

Um administrador pode optar por usar um determinado modelo de certificado para qualquer número de coisas diferentes, então eu diria que é impossível para nós sabermos exatamente o que exatamente esses certificados estavam sendo usados em seu ambiente.

O modelo de Autenticação da Estação de Trabalho é muito semelhante ao modelo de certificado do Computador, no entanto. Ambos os modelos certificados oferecem autenticação por computador. Portanto, os certificados podem ser usados para estabelecer conexões SSL / TLS de máquina para máquina.

Por exemplo, um exemplo de como os certificados de Autenticação da Estação de Trabalho podem ter sido usado é para autenticação de cliente com SCCM, para que o SCCM saiba que está falando com o cliente certo.

• Will users/machines be able to login Monday morning (post expiration date)?

Provavelmente. O Active Directory não exige certificados para fazer logon no domínio em uma configuração típica. Mas você pode ter algum serviço auxiliar em seu ambiente que quebre ... o que estava usando esses certs antes, não sabemos.

• Once the certificates are expired, will it be possible for the machines to get new certificates?

Você configura políticas de inscrição automática de certificado no Active Directory usando uma combinação de Diretiva de Grupo e permissões no modelo de certificado que permitem o registro automático das máquinas. Você quase nunca precisa ou quer ser inscrito manualmente em certificados em um ambiente do Active Directory.

Since I'm using Windows 2012 R2, it's possible that downlevel NTLM would be used as an alternative to Kerberos and this isn't an issue... although I'm not sure if this is acceptable in all cases: (e.g. DCOM enrollment of certificates)

A capacidade de um cliente de se inscrever em um certificado de uma CA corporativa não será afetada por esse cliente ter um certificado válido ou não. É um modelo de certificado diferente do que posso dizer em sua postagem, portanto, o fato de o modelo de certificado antigo expirar não funcionará para saber se um computador pode se inscrever automaticamente nele ou não. Se for um novo modelo, você precisará configurar a Política de Grupo para permitir a inscrição automática desse novo modelo.

** - Não para os fins desta discussão.

    
por 06.12.2014 / 16:46
3

What are the Workstation Certificates used for? Kerberos?

eles podem ser usados para autenticação de cliente durante a negociação de canal seguro (por exemplo, em IPsec ou em L2TP VPN). Eles não são usados para autenticação inicial do cliente, quando a máquina é inicializada.

Will users/machines be able to login Monday morning (post expiration date)?

sim, por que não?

Once the certificates are expired, will it be possible for the machines to get new certificates?

manualmente - sim, automaticamente - não. Mesmo se você estiver usando o registro automático, eles devem ser renovados antes de expirarem, caso contrário, o registro automático não poderá assinar a solicitação de renovação.

e para resumir: certificados de clientes não são usados até que algum aplicativo seja configurado para executar autenticação baseada em certificados para computadores (não para usuários).

    
por 06.12.2014 / 16:49
0

Resposta da MSFT: Caso 114120112106756

Qualquer aplicativo que procure por autenticação de cliente exigirá um certificado de autenticação de cliente (um certificado emitido para o modelo Computador por computador ou estação de trabalho).

É uma configuração de aplicativo para verificar se há certificado de cliente ou não. Por exemplo, o SCCM pode ser configurado para verificar a autenticidade do cliente por meio de certificados de cliente. O mesmo que um aplicativo da Web do IIS ou LDAP sobre SSL.

Um certificado é necessário apenas para comunicação SSL / TLS que o cliente inicia com um aplicativo e vice-versa. O Kerberos funciona em diferentes camadas de aplicativos, portanto, não exige certificados.

Nós optamos por certificados no caso do EAP (protocolo de autenticação estendida). Agora, como o aplicativo (se configurado) procura o certificado de clientes para obter uma comunicação TLS / SSL bem-sucedida, você deve certificar-se de que um certificado esteja presente no cliente, o que prova que os clientes são legítimos e emitidos por uma Autoridade de Certificação confiável.

    
por 08.12.2014 / 22:40