Instale o certificado de autoridade de certificação raiz confiável via GPO

Navegue suas respostas
4

Temos um Win2k8 como controlador de domínio em um domínio com estações de trabalho que executam o Windows XP. Gostaria de poder instalar via GPO um novo certificado de autoridade de certificação raiz confiável que eu mesmo criei.

Eu criei um GPO, importei o certificado em Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Diretivas de Chave Pública \ Autoridades de Certificação Raiz Confiáveis e atribuí o GPO a um grupo de usuários. Quando faço um gpupdate / force na estação de trabalho não consigo ver o certificado sendo importado ... mesmo se eu reiniciar a estação.

Em seguida, imaginei que talvez eu possa fazer melhor se eu criar uma autoridade de certificação raiz intermediária diretamente no controlador de domínio e implantar a autoridade de certificação raiz intermediária por meio do GPO. Gerou o certificado para a autoridade intermediária e importou-o para o mesmo GPO sob as Autoridades de Certificação Intermediárias.

Novamente, executei o comando gpupdate / force (e reiniciei) e verifiquei a estação de trabalho. Não foi possível ver nada na seção Imtermediate ou Root Authorities.

Após um pouco de pesquisa, conseguimos encontrar este pacote MSI Link , Instalei-o em duas estações de trabalho por meio de um GPO e executei o gpupdate / force nas estações de trabalho e observei que o certificado da autoridade intermediária estava instalado nas estações de trabalho, mas a CA raiz não estava.

Alguém tem alguma ideia do que eu poderia tentar em seguida?

Obrigado.

LE. Esqueci de mencionar que a CA raiz está em uma máquina independente, não faz parte do domínio e que eu planejo manter off-line.

    
por Chris19 29.01.2013 / 11:32

4 respostas

3

I've created a GPO, imported the certificate in Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certificate Authorities and assign the GPO to a group of users

Se você estiver usando a árvore de políticas "Configuração do computador", ela precisará estar vinculada a uma unidade organizacional em que as contas de computador estejam armazenadas.

Se você precisar instalar os certificados no armazenamento de certificados do usuário, então certutil mioght help. Documentação da Microsoft sobre o certificado . Use certutil -installcert <certfile> (acho que um pode ser executado como usuário) ou certutil -addstore -user root <cert file> em um script de login. Note, eu não testei estes, os comandos são diretamente da ajuda certutil -v -? .

    
por 03.04.2013 / 01:04
0

Tivemos um problema semelhante há um tempo atrás. Se bem me lembro, isso nos ajudou:

  1. Configuração do computador > Configuração do Windows > Políticas de chave pública > Clique duas vezes em Configurações de validação do caminho do certificado e clique na guia Lojas.

  2. Marque a caixa de seleção Definir estas configurações de política.

  3. Em armazenamentos de certificados Por usuário, limpe a caixa de seleção Permitir que CAs raiz confiáveis sejam usadas para validar certificados e Permitir que os usuários confiem em certificados de confiança de pares nas caixas de seleção Lojas de certificados por usuário.

  4. Em seguida, use gpupdate / force.

Espero que isso resolva seu problema.

    
por 29.01.2013 / 13:08
0

Nesse caso, por que você também não implanta uma CA intermediária para emitir Certificados? Se a autoridade de certificação autônoma puder contatar os controladores de domínio, ela publicará seu próprio certificado nos contêineres apropriados do AD, que é o comportamento padrão. Se o registro automático for acionado, os computadores poderão solicitar certificados. A melhor maneira é usar uma raiz corporativa e uma CA de emissão. CAs autônomas têm limitações quando se trata de inscrição e implantações. A configuração pode ser encontrada aqui . Boa sorte!

    
por 29.01.2013 / 13:32
0

O slm estava próximo, mas em vez de desmarcar o " Allow user trusted root CAs to be used to validate certificates " e "Allow users to trust peer trust certificates option in the Per User Certificate Stores "você deseja verificar as caixas.

  1. Edite o GPO que implanta o certificado
  2. No Editor de gerenciamento de diretiva de grupo, Configuração do computador > Configuração do Windows > Políticas de chave pública > clique duas vezes em Configurações de validação do caminho do certificado no painel direito.
  3. Na guia Lojas, marque a caixa de seleção Definir estas configurações de política. Em Armazenamentos de certificados por usuário, selecione a opção Permitir que CAs raiz confiáveis de usuário sejam usadas para validar certificados e marque a caixa de seleção Permitir que os usuários confiem em certificados de mesmo nível nas caixas de seleção Lojas de certificados por usuário.

Execute um gpupdate/force no (s) PC (s) e o certificado será implantado. Lembre-se também de vincular o GPO à UO da qual o (s) PC (s) pertence.

    
por 08.08.2016 / 09:35

Tags

Kickstart Centos Chave USB Centos 6.3 Como instalar o WebSphere 8.5 a partir do zipfile do Linux?