A confiança de um computador de domínio é determinada no domínio CA

1

Eu investiguei isso, mas não consegui encontrar uma resposta definitiva para minha pergunta. Eu nunca usei serviços de certificado no diretório ativo antes, por isso não tenho certeza de seu possível uso / implentações.

Resumo rápido: estamos procurando configurar um farm de área de trabalho remota com um servidor de gateway para permitir que usuários remotos se conectem ao farm sem uma VPN. Para que os usuários se conectem, precisamos ter um certificado confiável instalado para o servidor de gateway.

No meu ambiente de teste, usei um certificado autoassinado e instalei manualmente para autoridades de certificação raiz confiáveis, o que funciona muito bem! Isso significa que qualquer dispositivo em que instalarmos este certificado poderá ser conectado.

Obviamente, não queremos ter que fazer isso manualmente, então a melhor maneira é comprar um certificado de alguém como a VeriSign. Pensei em serviços de certificado no AD e imaginei se poderíamos simplesmente criar nosso próprio certificado usando uma autoridade de certificação interna.

Basicamente, minha pergunta se resume a: um computador associado ao domínio confia automaticamente em certificados emitidos por uma autoridade de certificação no mesmo domínio ou eles ainda precisariam ser instalados manualmente em cada dispositivo cliente? Existe alguma maneira que poderíamos usar esse recurso do Windows Server para nos poupar algum dinheiro em certs?

    
por James Edmonds 14.03.2014 / 11:19

3 respostas

6

Essentially my question boils down to: does a computer joined to the domain automatically trust certificates issued by a CA on the same domain, or would they still need to be manually installed on each client device?

Normalmente, o certificado raiz da PKI interna é distribuído por meio do GPO para todos os clientes. Isso torna "automático"

    
por 14.03.2014 / 11:41
4

Essentially my question boils down to: does a computer joined to the domain automatically trust certificates issued by a CA on the same domain, or would they still need to be manually installed on each client device?

Os clientes não confiam nos certificados de uma CA interna automaticamente, não.

Dito isso, não é necessário distribuir o certificado manualmente, porque isso pode ser feito pelo GPO. O "guia" do Technet sobre este processo está aqui e Há muito mais que você pode fazer com GPOs e uma Autoridade de Certificação interna do que apenas isso. Por exemplo, usamos o nosso para distribuir certificados para permitir a conectividade sem fio de automagia com a empresa WPA2, fazer com que nossos clientes confiem em todos os serviços SSL em nossos ambientes (impressoras, gerenciamento fora de banda, até mesmo nosso software de backup) para que os usuários não obtenha avisos de certificados e muito mais.

De qualquer forma, no Console de Gerenciamento de Diretiva de Grupo, vá para:

Computer Configuration - > Windows Settings - > Security Setting - > Public Key Policies - > Trusted Publishers e adicione seu certificado à loja "Autoridades de Certificação Raiz Confiáveis", e você é bom para ir com o que você quer fazer.

    
por 14.03.2014 / 12:28
1

Eu sei que isso é antigo, mas para esclarecer futuros pesquisadores:

Uma autoridade de certificação corporativa instalada em uma floresta do AD publicará automaticamente a publicação do certificado da autoridade de certificação aos membros do domínio por meio do Active Directory, não pelo GPO. Embora você possa distribuir certificados por meio de GPO, não é necessário para CAs corporativas (e provavelmente não deve para CAs corporativas, pois isso resultará em certificados duplicados para a autoridade de certificação em seu armazenamento de Autoridades de Certificação Raiz Confiáveis)

As CA autônomas não distribuem certificados automaticamente por meio do AD, mas você pode publicá-las no AD manualmente. Consulte: link

Esses certificados publicados são armazenados no contêiner CN = NTAuthCertificates, CN = Serviços de chave pública, CN = Services, CN = Configuração, DC = yourdomain, DC = com

    
por 04.11.2015 / 08:21