16 votos

Distribución de certificados root de Windows AD Certificado de Servicios

Windows Server proporciona un certificado de la autoridad de servicio. Sin embargo, no está claro a partir de su documentación de cómo (o si) el certificado root se distribuyen a los clientes.

  • Hacer miembro de dominio de los ordenadores de forma automática confiar en el certificado root?
    • Si es así, ¿cómo y cuándo obtener el certificado?
  • Hay necesidad de interacción del usuario para el certificado root para ser instalado o de confianza?
  • ¿El cliente encuesta de Active Directory? Es en el año de DNS?
  • Será sólo obtener durante el inicio de sesión?
  • ¿Qué pasa si un miembro de dominio de forma remota Vpn en la red LAN?
  • Hay advertencias para las diferentes versiones de los clientes de Windows?

17voto

Zoredache Puntos 84524

El método utilizado para la distribución depende del tipo de CA de la instalación (standalone/empresa).

Para un independiente o no de la CA de microsoft que generalmente distribuir este con una directiva de grupo.

Ver:

Cuando se instala una Empresa de certificados de la autoridad de un dominio, esto sucede automáticamente.

De: http://technet.microsoft.com/en-us/library/cc776874(WS.10).aspx

Al instalar una entidad emisora root de empresa, se utiliza la Directiva de Grupo para propagar su certificado a la Certificación Raíz de Confianza Las autoridades de almacén de certificados para todos los usuarios y equipos en el dominio.

4voto

Peter Bagnall Puntos 738

Es mi experiencia que una vez que el programa de instalación de la CA y el Cert se almacena en AGREGA, un equipo que va a tomar en el próximo arranque, y se almacenan en la root de confianza del equipo de la tienda. Yo, por lo general, de la CA en todos los dominios de AD puedo administrar, ya que abre opciones para el uso de CA para todos sus certificados necesita cualquier trabajo adicional para los equipos miembros del dominio. Esto incluye el Windows Server 2008 R2 SSTP o VPN L2TP / IPSec que utiliza certificados. Tradicional PPTP no hace uso de los certificados.

Ligeramente diferente, pero si quieres que la gente VPN en durante el inicio de sesión, usted debe usar la directiva de grupo para empujar un VPN de configuración o cuando se tiene que crear manualmente el VPN en un equipo marque la casilla "hacer disponible para todos los usuarios" en la casilla que almacena el VPN de configuración en el perfil público más bien, a continuación, el específico perfil de los usuarios. Una vez hecho esto, antes de iniciar sesión, haga clic en el botón cambiar de usuario (vista/7) y verás un nuevo icono de VPN parte inferior derecha el botón de apagado. Que resuelve el problema de "un nuevo usuario de inicio de sesión sin estar en la red, primero".

Por último, cuando se crea la root de CA, asegúrese de que está ejecutando Windows Enterprise o el Certificado de Servicio será lisiado (Norma ed.) y yo no haría el vencimiento de menos de 10 años para ahorrar un poco de trabajo en el futuro.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: