Distribution du certificat racine avec les services de certificats Windows AD

15

Windows Server fournit un service d'autorité de certification. Cependant, sa documentation ne précise pas comment (ou si) le certificat racine est distribué aux clients.

  • Les ordinateurs membres du domaine approuvent-ils automatiquement le certificat racine?
    • Si oui, comment et quand obtiennent-ils le certificat?
  • Une interaction utilisateur est-elle requise pour que le certificat racine soit installé ou approuvé?
  • Le client interroge-t-il Active Directory? Est-ce dans AD DNS?
  • Le recevra-t-il uniquement lors de la connexion?
  • Que faire si un membre du domaine VPN à distance dans le LAN?
  • Existe-t-il des mises en garde pour les différentes versions des clients Windows?
windows  active-directory  ad-certificate-services 
wfaulk
source

Réponses:

17

La méthode utilisée pour la distribution dépend du type d'autorité de certification que vous configurez (autonome / entreprise).

Pour une autorité de certification autonome ou non Microsoft, vous la distribuez généralement avec une stratégie de groupe.

Voir:

Lorsque vous installez une autorité de certification d'entreprise dans un domaine, cela se produit automatiquement.

De TechNet: autorités de certification d'entreprise (archivé ici .)

Lorsque vous installez une autorité de certification racine d'entreprise, elle utilise la stratégie de groupe pour propager son certificat vers le magasin de certificats des autorités de certification racines de confiance pour tous les utilisateurs et ordinateurs du domaine.

Zoredache
source
L'utilisation de la stratégie de groupe implique qu'elle ne se produit que lors de la connexion lorsque vous êtes connecté au domaine, non? Donc, quelqu'un qui se connecte et se connecte au domaine via VPN n'a pas de chance?
wfaulk
Cela dépend un peu du VPN. Je ne l'ai pas fait depuis Windows 2003, mais vous pourriez en fait lancer le VPN à la connexion, et les politiques / scripts de connexion s'appliqueraient. Je ne sais plus si cela est possible, et il serait beaucoup moins probable de travailler avec un VPN tiers.
Zoredache
Connectez-vous avec le réseau pour Windows 7 - level2it.wordpress.com/2009/11/05/…
Zoredache
En fait, si je relis correctement, il indique qu'il utilise GP pour pousser le certificat vers un magasin de certificats. Comment les clients le récupèrent-ils? Ou suis-je en train de mal lire?
wfaulk
1
L'autorité de certification d'entreprise pousse le certificat dans un objet de stratégie de groupe. Les machines appliquent l'objet de stratégie de groupe, qui installe ainsi l'autorité de certification dans le magasin approuvé. Je crois que l'autorité de certification d'entreprise publie dans la «stratégie de domaine par défaut».
Zoredache
4

D'après mon expérience, une fois que vous avez configuré l'autorité de certification et que le certificat est stocké dans ADDS, un ordinateur le récupérera au prochain démarrage et le stockera dans le magasin racine de confiance de l'ordinateur. Je place généralement les autorités de certification dans tous les domaines AD que je gère, car cela ouvre des options d'utilisation de l'autorité de certification pour tous vos besoins de certificats sans aucun travail supplémentaire pour les ordinateurs membres du domaine. Cela inclut le VPN SSTP Windows Server 2008 R2 ou IPSec L2TP qui utilise des certificats. PPTP traditionnel n'utilise pas de certificats.

Légèrement sans rapport, mais si vous voulez que les gens se connectent au VPN pendant la connexion, vous devez utiliser le GPO pour pousser une configuration VPN ou lorsque vous créez manuellement le VPN sur un ordinateur, cochez la case "rendre disponible pour tous les utilisateurs" qui stocke la configuration VPN dans le profil public plutôt que le profil utilisateur spécifique. Une fois cela fait, avant de vous connecter, cliquez sur le bouton Changer d'utilisateur (Vista / 7) et vous verrez une nouvelle icône VPN en bas à droite par le bouton d'arrêt. Cela résout le problème "d'un nouvel utilisateur se connectant sans être d'abord sur le réseau".

Enfin, lorsque vous créez l'autorité de certification racine, assurez-vous qu'elle exécute Windows Enterprise ou le service de certificats sera paralysé (dans la version Standard) et je ne ferais pas l'expiration moins de 10 ans pour vous faire économiser du travail à l'avenir.

Bret Fisher
source
0

Une pratique standard consiste à distribuer tous les certificats racine de confiance, y compris dans votre propre domaine, via des objets de stratégie de groupe (GPO). Cela peut être fait en créant un nouvel objet de stratégie de groupe avec une liaison et un filtrage de sécurité appropriés par rapport aux groupes de sécurité BUILTIN des ordinateurs et des contrôleurs de domaine . Cela garantit que les objets ordinateur Windows joints au domaine disposent d'un ensemble normalisé de certificats racine de confiance.

Le GPO lui-même peut être trouvé Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritieset désigner le magasin correct. Les clients recevront ensuite la stratégie au redémarrage et / ou au cours de leur prochain intervalle de traitement GPO, qui peut être forcé à l'aide de la gpupdate /forcecommande.

Cale Vernon
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.