Phân phối chứng chỉ gốc với Windows AD Chứng chỉ dịch vụ


15

Windows Server cung cấp dịch vụ ủy quyền chứng chỉ. Tuy nhiên, không rõ tài liệu của nó về cách (hoặc nếu) chứng chỉ gốc được phân phối cho khách hàng.

  • Do các máy tính thành viên miền tự động tin tưởng chứng chỉ gốc?
    • Nếu vậy, làm thế nào và khi nào họ nhận được chứng chỉ?
  • Có bất kỳ tương tác người dùng cần thiết cho chứng chỉ gốc được cài đặt hoặc tin cậy không?
  • Khách hàng có thăm dò ý kiến ​​Active Directory không? Có phải trong AD DNS không?
  • Nó sẽ chỉ nhận được nó trong khi đăng nhập?
  • Điều gì nếu một thành viên tên miền VPN từ xa vào mạng LAN?
  • Có bất kỳ cảnh báo cho các phiên bản khác nhau của máy khách Windows không?

Câu trả lời:


17

Phương thức được sử dụng để phân phối tùy thuộc vào loại CA bạn thiết lập (độc lập / doanh nghiệp).

Đối với CA độc lập hoặc không microsoft, bạn thường phân phối điều này với chính sách nhóm.

Xem:

Khi bạn cài đặt quyền chứng chỉ Doanh nghiệp trong một miền, điều này sẽ tự động xảy ra.

Từ TechNet: Cơ quan chứng nhận doanh nghiệp (Lưu trữ tại đây .)

Khi bạn cài đặt CA gốc doanh nghiệp, nó sử dụng Chính sách nhóm để truyền chứng chỉ của nó đến kho chứng chỉ ủy quyền chứng chỉ gốc đáng tin cậy cho tất cả người dùng và máy tính trong miền.


Sử dụng chính sách nhóm ngụ ý rằng nó chỉ xảy ra trong khi đăng nhập trong khi kết nối với tên miền, phải không? Vì vậy, ai đó đăng nhập và kết nối với tên miền qua VPN là hết may mắn?
wfaulk

Kinda phụ thuộc vào VPN. Tôi đã không thực hiện kể từ Windows 2003, nhưng bạn thực sự có thể khởi tạo VPN khi đăng nhập và các chính sách / tập lệnh đăng nhập sẽ được áp dụng. Không chắc chắn nếu điều đó là có thể nữa, và nó sẽ ít khả năng hoạt động hơn với VPN của bên thứ 3.
Zoredache

Đăng nhập bằng mạng cho Windows 7 - level2it.wordpress.com/2009/11/05/ từ
Zoredache

Trên thực tế, nếu tôi đọc lại chính xác, nó nói rằng nó sử dụng GP để đẩy chứng chỉ đến một cửa hàng chứng chỉ. Làm thế nào để khách hàng lấy nó? Hay tôi đang đọc sai?
wfaulk

1
Enterprise CA đẩy chứng chỉ vào GPO. Các máy áp dụng GPO, do đó cài đặt CA vào cửa hàng đáng tin cậy. Tôi tin rằng Enterprise CA xuất bản lên 'Chính sách miền mặc định'.
Zoredache

4

Theo kinh nghiệm của tôi, một khi bạn thiết lập CA và Chứng chỉ được lưu trữ trong ADDS, một máy tính sẽ lấy nó trong lần khởi động tiếp theo và lưu trữ trong kho lưu trữ gốc đáng tin cậy của máy tính. Tôi thường đặt CA trong tất cả các miền AD tôi quản lý vì nó mở ra các tùy chọn sử dụng CA cho tất cả các nhu cầu chứng chỉ của bạn mà không cần bất kỳ công việc bổ sung nào cho các máy tính thành viên miền. Điều này bao gồm Windows Server 2008 R2 SSTP VPN hoặc L2TP IPSec sử dụng chứng chỉ. PPTP truyền thống không sử dụng chứng chỉ.

Hơi không liên quan, nhưng nếu bạn muốn mọi người sử dụng VPN trong khi đăng nhập, bạn nên sử dụng GPO để đẩy cấu hình VPN hoặc khi bạn tạo thủ công VPN trên máy tính, hãy chọn hộp "cung cấp cho tất cả người dùng" lưu trữ cấu hình VPN trong hồ sơ công khai thay vì hồ sơ người dùng cụ thể. Khi đã xong, trước khi đăng nhập, hãy nhấp vào nút chuyển đổi người dùng (vista / 7) và bạn sẽ thấy biểu tượng VPN mới ở dưới cùng bên phải bằng nút tắt máy. Điều đó giải quyết vấn đề "người dùng mới đăng nhập mà không cần vào mạng trước".

Cuối cùng, khi bạn tạo CA gốc, hãy chắc chắn rằng nó đang chạy Windows Enterprise hoặc Dịch vụ chứng chỉ sẽ bị tê liệt (theo tiêu chuẩn ed.) Và tôi sẽ không hết hạn sau 10 năm để tiết kiệm cho bạn một số công việc trong tương lai.


0

Một thông lệ tiêu chuẩn là phân phối bất kỳ chứng chỉ Root đáng tin cậy nào, bao gồm trong miền của riêng bạn, thông qua Đối tượng chính sách nhóm (GPO). Điều này có thể được thực hiện bằng cách tạo GPO mới với Liên kết và Lọc bảo mật thích hợp đối với các nhóm máy tínhbộ điều khiển miền BUILTIN Nhóm bảo mật. Điều này đảm bảo rằng tên miền tham gia máy tính Windows có một bộ chứng chỉ Root đáng tin cậy được tiêu chuẩn hóa.

Bản thân GPO có thể được tìm thấy Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesvà chỉ định đúng cửa hàng. Sau đó, khách hàng sẽ nhận được chính sách khi khởi động lại và / hoặc trong khoảng thời gian xử lý GPO tiếp theo của họ, có thể bị buộc sử dụng gpupdate /forcelệnh.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.