Distribuzione del certificato di root con i servizi certificati di Windows AD

Windows Server fornisce un servizio di autorità di certificazione. Tuttavia, dalla sua documentazione non è chiaro come (o se) il certificato di root viene distribuito ai client.

  • I computer di dominio si fidano automaticamente del certificato principale?
    • In caso affermativo, come e quando ottengono il certificato?
  • C'è bisogno di un'interazione dell'utente per che il certificato di origine sia installato o sia attendibile?
  • Il client esegue un sondaggio su Active Directory? È in AD DNS?
  • Sarà solo ottenerlo durante l'accesso?
  • Cosa succede se un membro di dominio remota VPN nella LAN?
  • Esistono cave per diverse versioni di client Windows?

  • Creare un volume condiviso cluster con 3 server
  • Mysqldump over SSH fallisce silenziosamente con crontab
  • Modifica della passphrase di una chiave privata puttygen in Windows
  • Zone di sicurezza GPO IE
  • Come gestire gli aggiornamenti non appropriati per le edizioni Server Core?
  • Valore modificato nel Registro di sistema
  • Posso eseguire un programma GUI in background sulla row di command di Windows?
  • Come consentire a un client Windows di seguire in modo trasparente un collegamento simbolico remoto
  • 2 Solutions collect form web for “Distribuzione del certificato di root con i servizi certificati di Windows AD”

    Il metodo utilizzato per la distribuzione dipende dal tipo di CA impostato (standalone / enterprise).

    Per un'autorità autonoma o non microsoft, in genere lo distribuisce con una politica di gruppo.

    Vedere:

    • Domanda correlata: SF: come faccio a distribuire un'autorità di certificazione interna?
    • TechNet: utilizza la politica per distribuire i certificati

    Quando si installa un'autorità di certificazione Enterprise in un dominio, questo avviene automaticamente.

    Da TechNet: autorità di certificazione Enterprise (archiviato qui .)

    Quando si installa una CA di origine aziendale, utilizza Criteri di gruppo per propagare il suo certificato nell'archivio di certificati Autorità di certificazione principale di trust per tutti gli utenti e computer del dominio.

    È la mia esperienza che una volta impostata la CA e il Cert viene memorizzato in ADDS, un computer lo afferrerà al prossimo avvio e memorizzerà nel computer root di fiducia del computer. Ho generalmente messo CA in tutti i domini AD gestito in quanto apre opzioni per utilizzare CA per tutte le esigenze del tuo certificato senza ulteriori lavori per i computer membri di dominio. Ciò include il VPN SSTP di Windows Server 2008 R2 o IPSec di L2TP che utilizza i certificati. PPTP tradizionale non utilizza certificati.

    Poco legato, ma se si desidera che le persone in VPN durante l' accesso, è necessario utilizzare GPO per spingere una configuration VPN o quando si crea manualmente la VPN in un computer controllare la casella "rendere disponibile per tutti gli utenti" che memorizza la configuration VPN nel profilo pubblico piuttosto che il profilo degli utenti specifico. Una volta fatto questo, prima di effettuare l'accesso, fai clic sul button utente di commutazione (vista / 7) e apparirà una nuova icona VPN in basso a destra dal button di arresto. Questo risolve il problema di "un nuovo utente che accede senza essere in networking".

    Infine, quando si crea la CA principale, assicurarsi di eseguire Windows Enterprise o il Servizio certificato verrà bloccato (in Standard ed.) E non farò la scadenza less di 10 anni per risparmiare qualche lavoro in futuro.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.