Como reemitir certificados de máquina para os membros do Active Directory agora que tenho uma CA privada?

Navegue suas respostas
4

Portanto, tenho um Active Directory em funcionamento. Recentemente, adicionei uma nova máquina para atuar como uma autoridade de certificação do Active Directory.

Eu adicionei uma Política de Grupo (nível de computador) para inscrição automática de certificado de acordo com este documento . E verifiquei se minha autoridade de certificação é exibida em todos os certificados raiz confiáveis dos membros do meu domínio.

Eu exportei o certificado raiz da CA e adicionei-o à lista CA Raiz Confiável da minha estação de trabalho (computador).

Quando quero um desktop remoto em meus servidores remotos, ele ainda exibe um aviso como este:

Quando vejo o certificado, fica claro que o certificado que está sendo enviado é o certificado autoassinado da máquina padrão. Como obtenho o Windows para reemitir certificados de máquina com base na minha nova CA raiz confiável? Eu estou supondo que eu preciso criar uma política de auto-aprovação para certificados de máquina em algum lugar com alguma restrição talvez sobre quem / como tais solicitações podem ser feitas. E então eu acho que preciso empurrar uma política de domínio que, de alguma forma, instrui todos os membros do meu domínio a obter seu certificado de máquina.

Isso soa familiar para alguém? Acho que a razão pela qual não consigo encontrar um documento sobre isso é porque não sei a terminologia correta.

    
por Eric Falsken 20.01.2012 / 18:54

3 respostas

5

Você precisa se inscrever em um certificado de máquina na estação de trabalho. Você pode configurar o registro automático por meio da política de grupo ou pode navegar para o site de inscrição do cert em sua CA ( link e inscrever-se manualmente.
O registro automático é definido em Configuração do computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Políticas de chave pública.

EDIT Depois de obter um certificado que pode ser usado para "Autenticação de cliente", é necessário configurar o RDP para usar o certificado. Siga as instruções aqui para um script WMI faça isso.

    
por 20.01.2012 / 18:58
1

Esta documentação da Microsoft pode ajudá-lo: link

"Nos cenários a seguir, se um usuário do mesmo domínio que uma autoridade de certificação solicitar um certificado, o certificado emitido será publicado no Active Directory. No entanto, se o usuário for de um domínio filho, esse processo será Além disso, quando os usuários do mesmo domínio que uma CA solicitar um certificado, o certificado emitido não poderá ser publicado no Active Directory. "

    
por 20.01.2012 / 19:00
0

Verifique este artigo detalhado da Microsoft: link

Cumprimentos.
Farouk.

    
por 11.04.2013 / 19:38

Tags

Faça o downgrade do pacote Linux usando o Yum Balanceador de carga HTTP com roteamento baseado em cabeçalho?