การกระจายของใบรับรองหลักด้วย Windows AD Certificate Services

Windows Server ให้บริการหน่วยงานผู้ออกใบรับรอง อย่างไรก็ตามมันยังไม่ชัดเจนจากเอกสารของมันว่า (หรือถ้า) ใบรับรองรูทได้รับการแจกจ่ายให้กับลูกค้าอย่างไร

• คอมพิวเตอร์ที่เป็นสมาชิกของโดเมนเชื่อถือใบรับรองรูทโดยอัตโนมัติหรือไม่
  • ถ้าเป็นเช่นนั้นพวกเขาจะได้รับใบรับรองอย่างไรและเมื่อใด
• จำเป็นต้องมีการโต้ตอบกับผู้ใช้ใดเพื่อให้ติดตั้งหรือเชื่อถือใบรับรองหลักหรือไม่
• ไคลเอนต์สำรวจความคิดเห็นของ Active Directory หรือไม่? อยู่ใน AD DNS หรือไม่
• จะได้รับในระหว่างการเข้าสู่ระบบเท่านั้นหรือไม่
• เกิดอะไรขึ้นถ้าสมาชิกโดเมน VPN จากระยะไกลเข้าสู่ LAN
• มีข้อแม้สำหรับไคลเอนต์ Windows รุ่นต่าง ๆ หรือไม่?

วิธีที่ใช้ในการจัดจำหน่ายขึ้นอยู่กับประเภทของ CA ที่คุณติดตั้ง (สแตนด์อโลน / องค์กร)

สำหรับ CA แบบสแตนด์อโลนหรือไม่ใช่ไมโครซอฟต์คุณมักจะเผยแพร่สิ่งนี้กับนโยบายกลุ่ม

ดู:

• คำถามที่เกี่ยวข้อง: SF: ฉันจะปรับใช้ผู้ออกใบรับรองภายในได้อย่างไร
• TechNet: ใช้นโยบายเพื่อแจกจ่ายใบรับรอง

เมื่อคุณติดตั้งองค์กรออกใบรับรองในโดเมนสิ่งนี้จะเกิดขึ้นโดยอัตโนมัติ

จาก TechNet: ผู้ให้บริการออกใบรับรององค์กร (เก็บถาวรที่นี่ )

เมื่อคุณติดตั้ง CA root ขององค์กรจะใช้นโยบายกลุ่มเพื่อเผยแพร่ใบรับรองไปยังที่เก็บใบรับรอง Trusted Root Certificate Authorities สำหรับผู้ใช้และคอมพิวเตอร์ทุกเครื่องในโดเมน

เป็นประสบการณ์ของฉันที่เมื่อคุณติดตั้ง CA และใบรับรองถูกเก็บไว้ใน ADDS คอมพิวเตอร์จะคว้ามันในการบูตครั้งถัดไปและเก็บไว้ในที่เก็บรากที่เชื่อถือได้ของคอมพิวเตอร์ โดยทั่วไปแล้วฉันใส่ CA ในโดเมน AD ทั้งหมดที่ฉันจัดการเนื่องจากจะเปิดตัวเลือกสำหรับการใช้ CA สำหรับใบรับรองทั้งหมดของคุณโดยไม่จำเป็นต้องทำงานเพิ่มเติมใด ๆ สำหรับคอมพิวเตอร์ที่เป็นสมาชิกของโดเมน ซึ่งรวมถึง Windows Server 2008 R2 SSTP VPN หรือ L2TP IPSec ซึ่งใช้ใบรับรอง PPTP ดั้งเดิมไม่ได้ใช้ใบรับรอง

ไม่เกี่ยวข้องกันเล็กน้อย แต่ถ้าคุณต้องการให้ผู้คนใช้ VPN ในระหว่างการเข้าสู่ระบบคุณควรใช้ GPO เพื่อผลักดันการกำหนดค่า VPN หรือเมื่อคุณสร้าง VPN ด้วยตนเองบนคอมพิวเตอร์ให้ทำเครื่องหมายในช่อง "ให้บริการสำหรับผู้ใช้ทั้งหมด" ซึ่งเก็บการกำหนดค่า VPN ใน โปรไฟล์สาธารณะแทนที่จะเป็นโปรไฟล์ผู้ใช้ที่ระบุ เมื่อเสร็จสิ้นก่อนเข้าสู่ระบบให้คลิกที่ปุ่มสลับผู้ใช้ (vista / 7) และคุณจะเห็นไอคอน VPN ใหม่ด้านล่างขวาโดยปุ่มปิด ที่ช่วยแก้ปัญหาของ "ผู้ใช้ใหม่เข้าสู่ระบบโดยไม่ต้องอยู่บนเครือข่ายก่อน"

สุดท้ายเมื่อคุณสร้างรูท CA ให้แน่ใจว่ามันกำลังใช้งาน Windows Enterprise ไม่เช่นนั้นใบรับรองบริการจะถูกทำให้พิการ (ใน Standard ed.) และฉันจะไม่ทำให้หมดอายุน้อยกว่า 10 ปีเพื่อช่วยให้คุณทำงานได้ในอนาคต

แนวปฏิบัติมาตรฐานคือการแจกจ่ายใบรับรองรูทที่เชื่อถือได้รวมถึงภายในโดเมนของคุณเองผ่าน Group Policy Objects (GPO) สิ่งนี้สามารถทำได้โดยการสร้าง GPO ใหม่ด้วยการเชื่อมโยงที่เหมาะสมและการกรองความปลอดภัยกับคอมพิวเตอร์โดเมนและตัวควบคุมโดเมน BUILTIN กลุ่มความปลอดภัย สิ่งนี้ทำให้มั่นใจได้ว่าโดเมนที่เข้าร่วมวัตถุคอมพิวเตอร์ของ Windows มีชุดใบรับรองรากที่เชื่อถือได้มาตรฐาน

GPO นั้นสามารถพบได้ในComputer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesและกำหนดร้านค้าที่ถูกต้อง ลูกค้าจะได้รับนโยบายเมื่อรีสตาร์ทและ / หรือระหว่างช่วงเวลาการประมวลผล GPO ครั้งถัดไปซึ่งสามารถบังคับได้โดยใช้gpupdate /forceคำสั่ง