web-dev-qa-db-ja.com

プライベートCAを使用しているので、Active Directoryメンバーのマシン証明書を再発行するにはどうすればよいですか?

だから私は作業用のActive Directoryを持っています。最近、Active Directory認証局として機能する新しいマシンを追加しました。

このドキュメント に従って、自動証明書登録用のグループポリシー(コンピューターレベル)を追加しました。また、私のCAがすべてのドメインメンバーの信頼されたルート証明書に表示されていることを確認しました。

CAのルート証明書をエクスポートして、自分のワークステーション(コンピューター)の信頼されたルートCAリストに追加しました。

リモートサーバーにデスクトップをリモート化したい場合でも、次のような警告が表示されます。 Remote Desktop Connection untrusted certificate warning

証明書を表示すると、送信されている証明書がデフォルトのマシンの自己署名証明書であることがわかります。新しい信頼されたルートCAに基づいてWindowsにマシン証明書を再発行させるにはどうすればよいですか?マシン証明書の自動承認ポリシーをどこかに作成する必要があると思いますが、そのような要求を誰が/どのように行うことができるかについて何らかの制約があります。そして、どういうわけかすべてのドメインメンバーにマシン証明書を取得するように指示するドメインポリシーをプッシュする必要があると思います。

これは誰にも馴染みがあるように聞こえますか?これに関するドキュメントが見つからないのは、正しい用語がわからないためだと思います。

active-directoryremote-desktop-servicesad-certificate-services
4
Eric Falsken

ワークステーションでマシン証明書を登録する必要があります。グループポリシーを使用して自動登録を設定するか、CAの証明書登録We​​bサイト( https:// yourCA/certenroll )に移動して手動で登録できます。
自動登録は、[コンピューターの構成]-> [ポリシー]-> [Windowsの設定]-> [セキュリティの設定]-> [公開鍵のポリシー]で設定されます。

[〜#〜] edit [〜#〜]「クライアント認証」に使用できる証明書を取得したら、次のことを行う必要があります。証明書を使用するようにRDPを設定します。これを行うには、WMIスクリプトの指示 ここ に従います。

5
Paul Ackerman

このMicrosoftのドキュメントはあなたを助けるかもしれません: http://support.Microsoft.com/kb/281271

「次のシナリオでは、証明機関(CA)と同じドメインのユーザーが証明書を要求すると、発行された証明書がActive Directoryに公開されます。ただし、ユーザーが子ドメインのユーザーである場合、このプロセスは成功しません。また、CAと同じドメインのユーザーが証明書を要求すると、発行された証明書がActiveDirectoryに公開されない場合があります。」

1
Zero Stack

Microsoftからのこの詳細な記事を確認してください: http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx?PageIndex=2

よろしく。
Farouk。

0
Faroukdz