Distribución del certificado raíz con los Servicios de certificados de Windows AD

15

Windows Server proporciona un servicio de autoridad de certificación. Sin embargo, no está claro en su documentación cómo (o si) el certificado raíz se distribuye a los clientes.

  • ¿Las computadoras miembro del dominio confían automáticamente en el certificado raíz?
    • Si es así, ¿cómo y cuándo obtienen el certificado?
  • ¿Se requiere alguna interacción del usuario para instalar o confiar el certificado raíz?
  • ¿El cliente sondea Active Directory? ¿Está en AD DNS?
  • ¿Solo lo obtendrá durante el inicio de sesión?
  • ¿Qué sucede si un miembro del dominio VPN de forma remota en la LAN?
  • ¿Hay alguna advertencia para las diferentes versiones de los clientes de Windows?
wfaulk
fuente

Respuestas:

17

El método utilizado para la distribución depende del tipo de CA que configure (independiente / empresa).

Para una CA independiente o que no sea de Microsoft, generalmente distribuye esto con una política de grupo.

Ver:

Cuando instala una autoridad de certificación Enterprise en un dominio, esto sucede automáticamente.

De TechNet: Autoridades de certificación empresarial (Archivado aquí ).

Cuando instala una CA raíz de empresa, utiliza la Política de grupo para propagar su certificado al almacén de certificados de las Autoridades de certificación raíz de confianza para todos los usuarios y equipos del dominio.

Zoredache
fuente
El uso de la política de grupo implica que solo ocurre durante el inicio de sesión mientras está conectado al dominio, ¿verdad? Entonces, ¿alguien que inicia sesión y se conecta al dominio a través de VPN no tiene suerte?
wfaulk
Depende un poco de la VPN. No lo he hecho desde Windows 2003, pero en realidad podría iniciar la VPN al iniciar sesión, y se aplicarían políticas / scripts de inicio de sesión. No estoy seguro si eso ya es posible, y sería mucho menos probable que funcione con una VPN de terceros.
Zoredache
Inicie sesión con la red para Windows 7 - level2it.wordpress.com/2009/11/05/…
Zoredache
En realidad, si estoy releyendo eso correctamente, dice que usa GP para enviar el certificado a un almacén de certificados. ¿Cómo lo recuperan los clientes? ¿O estoy leyendo mal?
wfaulk
1
Enterprise CA empuja el certificado a un GPO. Las máquinas aplican el GPO, que instala así la CA en la tienda de confianza. Creo que Enterprise CA publica la 'Política de dominio predeterminada'.
Zoredache
4

Según mi experiencia, una vez que configura la CA y el Certificado se almacena en ADDS, una computadora lo tomará en el próximo arranque y lo almacenará en el almacén raíz de confianza de la computadora. Generalmente pongo CA en todos los dominios de AD que administro, ya que abre opciones para usar CA para todas sus necesidades de certificados sin ningún trabajo adicional para las computadoras miembros del dominio. Esto incluye Windows Server 2008 R2 SSTP VPN o L2TP IPSec que utiliza certificados. PPTP tradicional no utiliza certificados.

Ligeramente no relacionado, pero si desea que las personas accedan a VPN durante el inicio de sesión, debe usar GPO para impulsar una configuración de VPN o cuando cree manualmente la VPN en una computadora, marque la casilla "poner a disposición de todos los usuarios" que almacena la configuración de VPN en el perfil público en lugar del perfil de usuario específico. Una vez hecho esto, antes de iniciar sesión, haga clic en el botón Cambiar usuario (vista / 7) y verá un nuevo icono de VPN en la parte inferior derecha junto al botón de apagado. Eso resuelve el problema de "un nuevo usuario que inicia sesión sin estar primero en la red".

Por último, cuando cree la CA raíz, asegúrese de que esté ejecutando Windows Enterprise o que el Servicio de certificados esté paralizado (en la edición estándar) y no expire en menos de 10 años para ahorrarle algo de trabajo en el futuro.

Bret Fisher
fuente
0

Una práctica estándar es distribuir los certificados de Trusted Root, incluso dentro de su propio dominio, a través de Group Policy Objects (GPO). Esto se puede hacer creando un nuevo GPO con enlaces y filtros de seguridad adecuados contra los equipos de dominio y los controladores de dominio BUILTIN Security Groups. Esto garantiza que los objetos de computadora con Windows unidos al dominio tengan un conjunto estandarizado de certificados raíz de confianza.

El GPO se puede encontrar Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesy designar la tienda correcta. Los clientes recibirán la política al reiniciar y / o durante su próximo intervalo de procesamiento de GPO, que se puede forzar con el gpupdate /forcecomando.

Cale Vernon
fuente