Distribuzione del certificato radice con Servizi certificati di Windows AD

Windows Server fornisce un servizio di autorità di certificazione. Tuttavia, dalla sua documentazione non è chiaro come (o se) il certificato radice viene distribuito ai client.

• I computer membri del dominio si fidano automaticamente del certificato radice?
  • In tal caso, come e quando ottengono il certificato?
• È necessaria un'interazione dell'utente per l'installazione o l'attendibilità del certificato radice?
• Il client esegue il polling di Active Directory? È in DNS AD?
• Lo riceverà solo durante il login?
• Cosa succede se un membro del dominio remoto VPN nella LAN?
• Esistono avvertenze per le diverse versioni dei client Windows?

Il metodo utilizzato per la distribuzione dipende dal tipo di CA che si imposta (autonomo / aziendale).

Per un'autorità di certificazione autonoma o non Microsoft generalmente si distribuisce questo con un criterio di gruppo.

Vedere:

• Domanda correlata: SF: Come si distribuisce un'autorità di certificazione interna?
• TechNet: utilizzare i criteri per distribuire certificati

Quando si installa un'autorità di certificazione Enterprise in un dominio, ciò accade automaticamente.

Da TechNet: autorità di certificazione Enterprise (archiviate qui .)

Quando si installa una CA radice aziendale, utilizza Criteri di gruppo per propagare il proprio certificato all'archivio certificati Autorità di certificazione radice attendibile per tutti gli utenti e i computer nel dominio.

È la mia esperienza che una volta configurata la CA e il Cert è archiviato in ADDS, un computer lo afferrerà al successivo avvio e lo memorizzerà nell'archivio radice attendibile del computer. In genere inserisco le CA in tutti i domini AD che gestisco in quanto apre le opzioni per l'utilizzo della CA per tutte le esigenze di certificazione senza alcun lavoro aggiuntivo per i computer membri del dominio. Ciò include la VPN SSTP di Windows Server 2008 R2 o I2ec L2TP che utilizza certificati. Il PPTP tradizionale non utilizza certificati.

Leggermente non correlato, ma se si desidera che le persone accedano alla VPN durante l' accesso, è necessario utilizzare l'oggetto Criteri di gruppo per inviare una configurazione VPN o quando si crea manualmente la VPN su un computer selezionare la casella "Rendi disponibile per tutti gli utenti" in cui è memorizzata la configurazione VPN nella profilo pubblico piuttosto che il profilo utente specifico. Una volta fatto, prima dell'accesso, fai clic sul pulsante Cambia utente (vista / 7) e vedrai una nuova icona VPN in basso a destra dal pulsante di spegnimento. Ciò risolve il problema di "un nuovo utente che accede senza essere prima sulla rete".

Infine, quando crei la CA principale, assicurati che sia in esecuzione Windows Enterprise o il Servizio certificati sarà paralizzato (nella versione Standard) e non farei la scadenza meno di 10 anni per risparmiare un po 'di lavoro in futuro.

Una pratica standard è quella di distribuire tutti i certificati radice affidabili, anche all'interno del proprio dominio, tramite oggetti Criteri di gruppo (GPO). Questo può essere fatto creando un nuovo oggetto Criteri di gruppo con collegamenti e filtri di sicurezza adeguati contro i gruppi di sicurezza BUILTIN di computer e controller di dominio . Ciò garantisce che gli oggetti computer Windows aggiunti al dominio dispongano di un set standardizzato di certificati radice affidabili.

L'oggetto Criteri di gruppo stesso può essere trovato Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiese designando il negozio corretto. I client riceveranno quindi la politica al riavvio e / o durante il successivo intervallo di elaborazione dell'oggetto Criteri di gruppo, che può essere forzato utilizzando il gpupdate /forcecomando.