Распространение корневого сертификата с помощью служб сертификатов Windows AD

Windows Server предоставляет службу центра сертификации. Однако из его документации неясно, как (или если) корневой сертификат распространяется среди клиентов.

• Доверяют ли компьютеры-члены домена корневой сертификат?
  • Если да, то как и когда они получают сертификат?
• Требуется ли какое-либо взаимодействие с пользователем для установки или доверия корневого сертификата?
• Опрашивает ли клиент Active Directory? Это в AD DNS?
• Это получит только при входе в систему?
• Что делать, если член домена удаленно подключается к VPN?
• Есть ли какие-либо предостережения для разных версий клиентов Windows?

Метод, используемый для распространения, зависит от типа установленного CA (автономного / корпоративного).

Для автономного или стороннего CA вы обычно распространяете это с групповой политикой.

Видеть:

• Смежный вопрос: SF: Как развернуть внутренний центр сертификации?
• TechNet. Использование политик для распространения сертификатов

При установке центра сертификации предприятия в домене это происходит автоматически.

Из TechNet: Центры сертификации предприятий (Архивировано здесь .)

При установке корневого центра сертификации предприятия он использует групповую политику для распространения своего сертификата в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене.

По моему опыту, после настройки ЦС и сохранения сертификата в ADDS компьютер при следующей загрузке захватит его и сохранит в доверенном корневом хранилище компьютера. Обычно я помещаю CA во все домены AD, которыми я управляю, поскольку это открывает возможности для использования CA для всех ваших потребностей в сертификатах без какой-либо дополнительной работы для компьютеров, входящих в домен. Это включает Windows Server 2008 R2 SSTP VPN или L2TP IPSec, который использует сертификаты. Традиционный PPTP не использует сертификаты.

Немного не связано, но если вы хотите, чтобы люди подключались к VPN во время входа в систему, вы должны использовать GPO для настройки VPN или при создании VPN на компьютере вручную, установите флажок «сделать доступным для всех пользователей», в котором конфигурация VPN хранится в общедоступный профиль, а не профиль конкретного пользователя. Как только это будет сделано, перед входом в систему нажмите кнопку переключения пользователя (vista / 7), и вы увидите новый значок VPN внизу справа от кнопки выключения. Это решает проблему «входа нового пользователя без подключения к сети».

Наконец, когда вы создаете корневой ЦС, убедитесь, что он работает под управлением Windows Enterprise, иначе служба сертификатов будет повреждена (в стандартной редакции), и я бы не выбрал срок действия менее 10 лет, чтобы сэкономить вам некоторую работу в будущем.

Стандартной практикой является распространение любых сертификатов доверенного корня, в том числе в вашем собственном домене, через объекты групповой политики (GPO). Это может быть сделано путем создания нового объекта групповой политики с надлежащей увязки и фильтрации безопасности против компьютеров домена и контроллеры домена BUILTIN групп безопасности. Это гарантирует, что присоединенные к домену компьютерные объекты Windows имеют стандартизированный набор сертификатов доверенного корня.

Сам GPO можно найти Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesи указать правильный магазин. Клиенты будут получать политику после перезапуска и / или в течение следующего интервала обработки объекта групповой политики, который можно принудительно использовать с помощью gpupdate /forceкоманды.