Kök sertifikanın Windows AD Sertifika Hizmetleri ile dağıtımı

Windows Server bir sertifika yetkilisi hizmeti sağlar. Ancak, kök sertifikanın istemcilere nasıl dağıtıldığı (veya dağıtıldığı) belgelerinden açık değildir.

• Etki alanı üyesi bilgisayarlar kök sertifikaya otomatik olarak güveniyor mu?
  • Varsa, sertifikayı nasıl ve ne zaman alırlar?
• Kök sertifikanın yüklenmesi veya güvenilir olması için herhangi bir kullanıcı etkileşimi gerekiyor mu?
• İstemci Active Directory'yi yoklıyor mu? AD DNS'de mi?
• Sadece giriş sırasında alacak mı?
• Bir etki alanı üyesi LAN'a uzaktan VPN bağlarsa ne olur?
• Windows istemcilerinin farklı sürümleri için uyarılar var mı?

Dağıtım için kullanılan yöntem, ayarladığınız CA türüne (bağımsız / kurumsal) bağlıdır.

Tek başına veya microsoft olmayan bir CA için bunu genellikle bir grup ilkesiyle dağıtırsınız.

Görmek:

• İlgili soru: SF: Dahili sertifika yetkilisini nasıl dağıtırım?
• TechNet: Sertifikaları Dağıtmak için İlkeyi Kullanma

Bir etki alanına Enterprise sertifika yetkilisi yüklediğinizde, bu otomatik olarak gerçekleşir.

TechNet'ten: Kuruluş sertifika yetkilileri ( Buradan arşivlenir .)

Bir kuruluş kök CA'sı yüklediğinizde, sertifikasını etki alanındaki tüm kullanıcılar ve bilgisayarlar için Güvenilen Kök Sertifika Yetkilileri sertifika deposuna yaymak üzere Grup İlkesi kullanılır.

Deneyimime göre, CA'yı ve Cert'i ADDS'de sakladıktan sonra, bir bilgisayar bir sonraki önyüklemede yakalayacak ve bilgisayarın güvenilir kök deposunda saklayacaktır. Etki alanı üyesi bilgisayarlar için herhangi bir ek çalışma olmadan CA'yı tüm sertifika ihtiyaçlarınız için kullanma seçeneklerini açtığından genellikle CA'ları yönettiğim tüm AD etki alanlarına koyarım. Buna sertifika kullanan Windows Server 2008 R2 SSTP VPN veya L2TP IPSec de dahildir. Geleneksel PPTP sertifika kullanmaz.

Biraz ilgisiz, ancak oturum açma sırasında kişilerin VPN'ye girmesini istiyorsanız , bir VPN yapılandırmasını göndermek için GPO'yu kullanmalısınız veya VPN'yi manuel olarak bir bilgisayarda oluşturduğunuzda, VPN yapılandırmasında bulunan VPN yapılandırmasını saklayan "tüm kullanıcılar için kullanılabilir" kutusunu işaretleyin. genel kullanıcı profili yerine genel profil. Bu yapıldıktan sonra, giriş yapmadan önce kullanıcı değiştir düğmesine (vista / 7) tıklayın, kapatma düğmesinin hemen altında yeni bir VPN simgesi göreceksiniz. Bu, "önce ağa girmeden yeni bir kullanıcı girişi" sorununu çözer.

Son olarak, kök CA'yı oluşturduğunuzda, Windows Enterprise çalıştığından emin olun, yoksa Sertifika Hizmeti sakat kalacaktır (Standart sürümde) ve gelecekte biraz çalışmanızı kurtarmak için son kullanma tarihini 10 yıldan daha az yapmam.

Standart bir uygulama, kendi etki alanınız dahil olmak üzere tüm Güvenilen Kök sertifikalarını Grup İlkesi Nesneleri (GPO) aracılığıyla dağıtmaktır. Bu, Etki Alanı Bilgisayarları ve Etki Alanı Denetleyicileri BUILTIN Güvenlik Gruplarına karşı uygun bağlantı ve Güvenlik Filtreleme ile yeni bir GPO oluşturularak yapılabilir . Bu, etki alanına katılmış Windows bilgisayar nesnesinin standartlaştırılmış bir Güvenilen Kök sertifika kümesine sahip olmasını sağlar.

GPO'nun kendisi Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesdoğru mağazayı bulabilir ve belirleyebilir. Müşteriler daha sonra yeniden başlatma ve / veya bir sonraki GPO işleme aralıkları sırasında ilkeyi alırlar gpupdate /force.