Phân phối chứng chỉ gốc với Windows AD Chứng chỉ dịch vụ

Windows Server cung cấp dịch vụ ủy quyền chứng chỉ. Tuy nhiên, không rõ tài liệu của nó về cách (hoặc nếu) chứng chỉ gốc được phân phối cho khách hàng.

• Do các máy tính thành viên miền tự động tin tưởng chứng chỉ gốc?
  • Nếu vậy, làm thế nào và khi nào họ nhận được chứng chỉ?
• Có bất kỳ tương tác người dùng cần thiết cho chứng chỉ gốc được cài đặt hoặc tin cậy không?
• Khách hàng có thăm dò ý kiến ​​Active Directory không? Có phải trong AD DNS không?
• Nó sẽ chỉ nhận được nó trong khi đăng nhập?
• Điều gì nếu một thành viên tên miền VPN từ xa vào mạng LAN?
• Có bất kỳ cảnh báo cho các phiên bản khác nhau của máy khách Windows không?

Phương thức được sử dụng để phân phối tùy thuộc vào loại CA bạn thiết lập (độc lập / doanh nghiệp).

Đối với CA độc lập hoặc không microsoft, bạn thường phân phối điều này với chính sách nhóm.

Xem:

• Câu hỏi liên quan: SF: Làm cách nào để triển khai cơ quan cấp chứng chỉ nội bộ?
• TechNet: Chính sách sử dụng để phân phối chứng chỉ

Khi bạn cài đặt quyền chứng chỉ Doanh nghiệp trong một miền, điều này sẽ tự động xảy ra.

Từ TechNet: Cơ quan chứng nhận doanh nghiệp (Lưu trữ tại đây .)

Khi bạn cài đặt CA gốc doanh nghiệp, nó sử dụng Chính sách nhóm để truyền chứng chỉ của nó đến kho chứng chỉ ủy quyền chứng chỉ gốc đáng tin cậy cho tất cả người dùng và máy tính trong miền.

Theo kinh nghiệm của tôi, một khi bạn thiết lập CA và Chứng chỉ được lưu trữ trong ADDS, một máy tính sẽ lấy nó trong lần khởi động tiếp theo và lưu trữ trong kho lưu trữ gốc đáng tin cậy của máy tính. Tôi thường đặt CA trong tất cả các miền AD tôi quản lý vì nó mở ra các tùy chọn sử dụng CA cho tất cả các nhu cầu chứng chỉ của bạn mà không cần bất kỳ công việc bổ sung nào cho các máy tính thành viên miền. Điều này bao gồm Windows Server 2008 R2 SSTP VPN hoặc L2TP IPSec sử dụng chứng chỉ. PPTP truyền thống không sử dụng chứng chỉ.

Hơi không liên quan, nhưng nếu bạn muốn mọi người sử dụng VPN trong khi đăng nhập, bạn nên sử dụng GPO để đẩy cấu hình VPN hoặc khi bạn tạo thủ công VPN trên máy tính, hãy chọn hộp "cung cấp cho tất cả người dùng" lưu trữ cấu hình VPN trong hồ sơ công khai thay vì hồ sơ người dùng cụ thể. Khi đã xong, trước khi đăng nhập, hãy nhấp vào nút chuyển đổi người dùng (vista / 7) và bạn sẽ thấy biểu tượng VPN mới ở dưới cùng bên phải bằng nút tắt máy. Điều đó giải quyết vấn đề "người dùng mới đăng nhập mà không cần vào mạng trước".

Cuối cùng, khi bạn tạo CA gốc, hãy chắc chắn rằng nó đang chạy Windows Enterprise hoặc Dịch vụ chứng chỉ sẽ bị tê liệt (theo tiêu chuẩn ed.) Và tôi sẽ không hết hạn sau 10 năm để tiết kiệm cho bạn một số công việc trong tương lai.

Một thông lệ tiêu chuẩn là phân phối bất kỳ chứng chỉ Root đáng tin cậy nào, bao gồm trong miền của riêng bạn, thông qua Đối tượng chính sách nhóm (GPO). Điều này có thể được thực hiện bằng cách tạo GPO mới với Liên kết và Lọc bảo mật thích hợp đối với các nhóm máy tính và bộ điều khiển miền BUILTIN Nhóm bảo mật. Điều này đảm bảo rằng tên miền tham gia máy tính Windows có một bộ chứng chỉ Root đáng tin cậy được tiêu chuẩn hóa.

Bản thân GPO có thể được tìm thấy Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesvà chỉ định đúng cửa hàng. Sau đó, khách hàng sẽ nhận được chính sách khi khởi động lại và / hoặc trong khoảng thời gian xử lý GPO tiếp theo của họ, có thể bị buộc sử dụng gpupdate /forcelệnh.