Distribusi sertifikat root dengan Layanan Sertifikat AD Windows

Windows Server menyediakan layanan otoritas sertifikat. Namun, tidak jelas dari dokumentasinya bagaimana (atau jika) sertifikat root didistribusikan ke klien.

• Apakah komputer anggota domain secara otomatis mempercayai sertifikat root?
  • Jika demikian, bagaimana dan kapan mereka mendapatkan sertifikat?
• Apakah ada interaksi pengguna yang diperlukan agar sertifikat root dipasang atau dipercaya?
• Apakah klien polling Active Directory? Apakah itu dalam DNS AD?
• Apakah hanya akan mendapatkannya saat login?
• Bagaimana jika anggota domain secara remote VPN ke LAN?
• Apakah ada peringatan untuk berbagai versi klien Windows?

Metode yang digunakan untuk distribusi tergantung pada jenis CA yang Anda setup (mandiri / perusahaan).

Untuk CA mandiri atau non-microsoft, Anda biasanya mendistribusikan ini dengan kebijakan grup.

Lihat:

• Pertanyaan terkait: SF: Bagaimana saya menggunakan otoritas sertifikat internal?
• TechNet: Gunakan Kebijakan untuk Mendistribusikan Sertifikat

Ketika Anda menginstal otoritas sertifikat Perusahaan di domain, ini terjadi secara otomatis.

Dari TechNet: Otoritas sertifikasi perusahaan (Diarsipkan di sini .)

Ketika Anda menginstal CA root perusahaan, ia menggunakan Kebijakan Grup untuk menyebarkan sertifikatnya ke toko sertifikat Otoritas Sertifikasi Root Tepercaya untuk semua pengguna dan komputer di domain.

Ini pengalaman saya bahwa setelah Anda mengatur CA dan Cert disimpan dalam ADDS, komputer akan mengambilnya pada boot berikutnya dan menyimpannya di root store yang dipercaya komputer. Saya biasanya menempatkan CA di semua domain AD yang saya kelola karena membuka opsi untuk menggunakan CA untuk semua kebutuhan sertifikat Anda tanpa ada pekerjaan tambahan untuk komputer anggota domain. Ini termasuk Windows Server 2008 R2 SSTP VPN atau L2TP IPSec yang menggunakan sertifikat. PPTP tradisional tidak menggunakan sertifikat.

Sedikit tidak terkait, tetapi jika Anda ingin orang-orang menggunakan VPN saat login, Anda harus menggunakan GPO untuk mendorong konfigurasi VPN atau ketika Anda secara manual membuat VPN di komputer, centang kotak "sediakan untuk semua pengguna" yang menyimpan konfigurasi VPN di profil publik daripada profil pengguna tertentu. Setelah selesai, sebelum masuk, klik tombol sakelar pengguna (vista / 7) dan Anda akan melihat ikon VPN baru di bagian bawah kanan oleh tombol shutdown. Itu memecahkan masalah "pengguna baru yang masuk tanpa berada di jaringan terlebih dahulu".

Terakhir, ketika Anda membuat root CA, pastikan itu menjalankan Windows Enterprise atau Layanan Sertifikat akan lumpuh (dalam ed Standar.) Dan saya tidak akan membuat kedaluwarsa kurang dari 10 tahun untuk menyelamatkan Anda beberapa pekerjaan di masa depan.

Praktik standar adalah mendistribusikan sertifikat Root Tepercaya apa pun, termasuk di dalam domain Anda sendiri, melalui Objek Kebijakan Grup (GPO). Ini dapat dilakukan dengan membuat GPO baru dengan penautan yang tepat dan Pemfilteran Keamanan terhadap Komputer Domain dan Pengontrol Domain BUILTIN Grup Keamanan. Ini memastikan bahwa domain yang bergabung dengan objek komputer Windows memiliki seperangkat sertifikat Root Tepercaya yang distandarisasi.

GPO itu sendiri dapat ditemukan di Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesdan menunjuk toko yang benar. Klien kemudian akan menerima kebijakan pada saat restart dan / atau selama interval pemrosesan GPO berikutnya, yang dapat dipaksa menggunakan gpupdate /forceperintah.