Verteilung des Stammzertifikats mit Windows AD Certificate Services

15

Windows Server bietet einen Zertifizierungsstellendienst. Aus der Dokumentation ist jedoch nicht ersichtlich, wie (oder ob) das Stammzertifikat an Clients verteilt wird.

  • Vertrauen Domänenmitgliedscomputer automatisch dem Stammzertifikat?
    • Wenn ja, wie und wann erhalten sie das Zertifikat?
  • Ist eine Benutzerinteraktion erforderlich, damit das Stammzertifikat installiert oder als vertrauenswürdig eingestuft werden kann?
  • Ruft der Client Active Directory ab? Ist es in AD DNS?
  • Bekommt es das nur beim Einloggen?
  • Was passiert, wenn ein Domänenmitglied eine VPN-Verbindung im LAN herstellt?
  • Gibt es Vorbehalte für verschiedene Versionen von Windows-Clients?
windows active-directory ad-certificate-services wfaulk
quelle

Antworten:

17

Die für die Verteilung verwendete Methode hängt vom Typ der von Ihnen eingerichteten Zertifizierungsstelle ab (eigenständig / Unternehmen).

Bei einer eigenständigen Zertifizierungsstelle oder einer Nicht-Microsoft-Zertifizierungsstelle wird dies im Allgemeinen mit einer Gruppenrichtlinie verteilt.

Sehen:

Wenn Sie eine Enterprise-Zertifizierungsstelle in einer Domäne installieren, geschieht dies automatisch.

Von TechNet: Enterprise - Zertifizierungsstellen (Archivierte hier .)

Wenn Sie eine Unternehmensstammzertifizierungsstelle installieren, wird das Zertifikat mithilfe von Gruppenrichtlinien an den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen für alle Benutzer und Computer in der Domäne weitergegeben.

Zoredache
quelle
Die Verwendung von Gruppenrichtlinien impliziert, dass dies nur während der Anmeldung geschieht, wenn eine Verbindung zur Domäne besteht. Also hat jemand, der sich anmeldet und sich über VPN mit der Domain verbindet, Pech?
wfaulk
Ein bisschen hängt vom VPN ab. Ich habe es seit Windows 2003 nicht mehr getan, aber Sie könnten tatsächlich das VPN bei der Anmeldung initiieren lassen, und Richtlinien / Anmeldeskripts würden angewendet. Ich bin mir nicht sicher, ob dies mehr möglich ist, und es ist weitaus unwahrscheinlicher, dass es mit einem VPN eines Drittanbieters funktioniert.
Zoredache
Melden
Sie sich
Wenn ich das noch einmal richtig lese, heißt es, dass GP verwendet wird, um das Zertifikat an einen Zertifikatspeicher zu senden. Wie rufen Kunden es ab? Oder lese ich falsch?
Wfaulk
1
Die Unternehmenszertifizierungsstelle überträgt das Zertifikat in ein Gruppenrichtlinienobjekt. Die Computer wenden das Gruppenrichtlinienobjekt an, wodurch die Zertifizierungsstelle im vertrauenswürdigen Speicher installiert wird. Ich glaube, die Unternehmenszertifizierungsstelle veröffentlicht gemäß der Standarddomänenrichtlinie.
Zoredache
4

Ich habe die Erfahrung gemacht, dass ein Computer nach dem Einrichten der Zertifizierungsstelle und dem Speichern des Zertifikats in ADDS diese beim nächsten Start abruft und im vertrauenswürdigen Stammspeicher des Computers speichert. Ich lege Zertifizierungsstellen in der Regel in alle von mir verwalteten AD-Domänen, da sie Optionen für die Verwendung von Zertifizierungsstellen für alle Zertifikatanforderungen ohne zusätzliche Arbeit für Domänenmitgliedscomputer eröffnen. Dies umfasst Windows Server 2008 R2 SSTP VPN oder L2TP IPSec, das Zertifikate verwendet. Traditionelles PPTP verwendet keine Zertifikate.

Etwas unabhängig, aber wenn Sie möchten, dass Benutzer während der Anmeldung ein VPN erstellen, sollten Sie das Gruppenrichtlinienobjekt verwenden, um eine VPN-Konfiguration zu übertragen, oder wenn Sie das VPN manuell auf einem Computer erstellen, aktivieren Sie das Kontrollkästchen "Für alle Benutzer verfügbar machen", in dem die VPN-Konfiguration gespeichert ist öffentliches Profil statt des spezifischen Benutzerprofils. Sobald dies erledigt ist, klicken Sie vor der Anmeldung auf die Schaltfläche zum Wechseln des Benutzers (Vista / 7). Unten rechts neben der Schaltfläche zum Herunterfahren wird ein neues VPN-Symbol angezeigt. Dadurch wird das Problem gelöst, dass sich ein neuer Benutzer anmeldet, ohne zuvor im Netzwerk zu sein.

Wenn Sie die Stammzertifizierungsstelle erstellen, vergewissern Sie sich, dass Windows Enterprise ausgeführt wird oder der Zertifikatdienst (in der Standardausgabe) lahmgelegt ist, und ich würde den Ablauf nicht weniger als 10 Jahre in Anspruch nehmen, um Ihnen in Zukunft Arbeit zu ersparen.

Bret Fisher
quelle
0

Standardmäßig werden vertrauenswürdige Stammzertifikate, auch innerhalb Ihrer eigenen Domäne, über Gruppenrichtlinienobjekte (Group Policy Objects, GPO) verteilt. Dies kann durch Erstellen eines neuen Gruppenrichtlinienobjekts mit ordnungsgemäßer Verknüpfung und Sicherheitsfilterung für die BUILTIN-Sicherheitsgruppen für Domänencomputer und Domänencontroller erreicht werden. Auf diese Weise wird sichergestellt, dass bei Windows-Computerobjekten mit Domänenbeitritt ein standardisierter Satz vertrauenswürdiger Stammzertifikate vorhanden ist.

Das Gruppenrichtlinienobjekt selbst befindet sich im Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesrichtigen Geschäft und kennzeichnet dieses. Clients erhalten die Richtlinie dann beim Neustart und / oder während ihres nächsten GPO-Verarbeitungsintervalls, das mithilfe des gpupdate /forceBefehls erzwungen werden kann .

Cale Vernon
quelle