Distribusi sertifikat root dengan Layanan Sertifikat AD Windows


15

Windows Server menyediakan layanan otoritas sertifikat. Namun, tidak jelas dari dokumentasinya bagaimana (atau jika) sertifikat root didistribusikan ke klien.

  • Apakah komputer anggota domain secara otomatis mempercayai sertifikat root?
    • Jika demikian, bagaimana dan kapan mereka mendapatkan sertifikat?
  • Apakah ada interaksi pengguna yang diperlukan agar sertifikat root dipasang atau dipercaya?
  • Apakah klien polling Active Directory? Apakah itu dalam DNS AD?
  • Apakah hanya akan mendapatkannya saat login?
  • Bagaimana jika anggota domain secara remote VPN ke LAN?
  • Apakah ada peringatan untuk berbagai versi klien Windows?

Jawaban:


17

Metode yang digunakan untuk distribusi tergantung pada jenis CA yang Anda setup (mandiri / perusahaan).

Untuk CA mandiri atau non-microsoft, Anda biasanya mendistribusikan ini dengan kebijakan grup.

Lihat:

Ketika Anda menginstal otoritas sertifikat Perusahaan di domain, ini terjadi secara otomatis.

Dari TechNet: Otoritas sertifikasi perusahaan (Diarsipkan di sini .)

Ketika Anda menginstal CA root perusahaan, ia menggunakan Kebijakan Grup untuk menyebarkan sertifikatnya ke toko sertifikat Otoritas Sertifikasi Root Tepercaya untuk semua pengguna dan komputer di domain.


Menggunakan kebijakan grup menyiratkan bahwa itu hanya terjadi selama login saat terhubung ke domain, kan? Jadi seseorang yang masuk dan terhubung ke domain melalui VPN tidak beruntung?
wfaulk

Agak tergantung pada VPN. Saya belum melakukannya sejak Windows 2003, tetapi Anda sebenarnya bisa menginisiasi VPN saat masuk, dan kebijakan / skrip login akan berlaku. Tidak yakin apakah itu mungkin lagi, dan itu akan jauh lebih kecil kemungkinannya untuk bekerja dengan VPN pihak ke-3.
Zoredache

Login dengan jaringan untuk Windows 7 - level2it.wordpress.com/2009/11/05/...
Zoredache

Sebenarnya, jika saya membaca ulang dengan benar, dikatakan menggunakan GP untuk mendorong sertifikat ke toko sertifikat. Bagaimana cara klien mengambilnya? Atau apakah saya salah membaca?
wfaulk

1
Enterprise CA mendorong sertifikat ke dalam GPO. Mesin-mesin menerapkan GPO, yang dengan demikian memasang CA ke toko tepercaya. Saya percaya Enterprise CA menerbitkan ke 'Kebijakan Domain Default'.
Zoredache

4

Ini pengalaman saya bahwa setelah Anda mengatur CA dan Cert disimpan dalam ADDS, komputer akan mengambilnya pada boot berikutnya dan menyimpannya di root store yang dipercaya komputer. Saya biasanya menempatkan CA di semua domain AD yang saya kelola karena membuka opsi untuk menggunakan CA untuk semua kebutuhan sertifikat Anda tanpa ada pekerjaan tambahan untuk komputer anggota domain. Ini termasuk Windows Server 2008 R2 SSTP VPN atau L2TP IPSec yang menggunakan sertifikat. PPTP tradisional tidak menggunakan sertifikat.

Sedikit tidak terkait, tetapi jika Anda ingin orang-orang menggunakan VPN saat login, Anda harus menggunakan GPO untuk mendorong konfigurasi VPN atau ketika Anda secara manual membuat VPN di komputer, centang kotak "sediakan untuk semua pengguna" yang menyimpan konfigurasi VPN di profil publik daripada profil pengguna tertentu. Setelah selesai, sebelum masuk, klik tombol sakelar pengguna (vista / 7) dan Anda akan melihat ikon VPN baru di bagian bawah kanan oleh tombol shutdown. Itu memecahkan masalah "pengguna baru yang masuk tanpa berada di jaringan terlebih dahulu".

Terakhir, ketika Anda membuat root CA, pastikan itu menjalankan Windows Enterprise atau Layanan Sertifikat akan lumpuh (dalam ed Standar.) Dan saya tidak akan membuat kedaluwarsa kurang dari 10 tahun untuk menyelamatkan Anda beberapa pekerjaan di masa depan.


0

Praktik standar adalah mendistribusikan sertifikat Root Tepercaya apa pun, termasuk di dalam domain Anda sendiri, melalui Objek Kebijakan Grup (GPO). Ini dapat dilakukan dengan membuat GPO baru dengan penautan yang tepat dan Pemfilteran Keamanan terhadap Komputer Domain dan Pengontrol Domain BUILTIN Grup Keamanan. Ini memastikan bahwa domain yang bergabung dengan objek komputer Windows memiliki seperangkat sertifikat Root Tepercaya yang distandarisasi.

GPO itu sendiri dapat ditemukan di Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesdan menunjuk toko yang benar. Klien kemudian akan menerima kebijakan pada saat restart dan / atau selama interval pemrosesan GPO berikutnya, yang dapat dipaksa menggunakan gpupdate /forceperintah.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.