web-dev-qa-db-ja.com

Windows PKIで、ワークステーション認証CAテンプレートは何に使用されますか?有効期限が切れるとどうなりますか?

多くのワークステーションには、ワークステーション認証CAテンプレートを使用して発行された有効期限が切れたコンピューター証明書があります。このテンプレートのCAは2日で期限切れになります。

日付が延長された新しいCAを展開し、今週末に多くのマシンを正常に登録しました。

現在、電源がオフになっているワークステーション、またはエンタープライズCAから新しいコンピューター証明書を取得できなかったワークステーションが心配です。

Q:Q:

  • ワークステーション証明書は何に使用されますか? Kerberos?
  • ユーザー/マシンは月曜日の朝(有効期限後)にログインできますか?
  • 証明書の有効期限が切れると、マシンは新しい証明書を取得できますか?

私はWindows2012 R2を使用しているので、ダウンレベルNTLMがKerberosの代わりに使用される可能性があり、これは問題ではありません...これがすべての場合に受け入れられるかどうかはわかりませんが:(例:DCOM登録)証明書の)

active-directorykerberosad-certificate-services
5
goodguys_activate

•ワークステーション証明書は何に使用されますか? Kerberos?

いいえ。KerberosはSSL/TLS証明書を使用しません。**

管理者は、特定の証明書テンプレートをさまざまな目的で使用することを選択できます。そのため、現在、環境でそれらの証明書が正確に何に使用されているかを知ることは不可能だと思います。

ただし、ワークステーション認証テンプレートは、コンピュータ証明書テンプレートと非常によく似ています。これらの証明書テンプレートはどちらもコンピューター認証を提供します。したがって、証明書を使用して、マシン間SSL/TLS接続を確立できます。

たとえば、ワークステーション認証証明書mightがどのように使用されているかの1つの例は、SCCMによるクライアント認証のためであり、SCCMは、適切なクライアントと通信していることがわかります。

•ユーザー/マシンは月曜日の朝(有効期限後)にログインできますか?

最も可能性が高い。 Active Directoryでは、通常の構成でドメインにログインできるようにするために証明書は必要ありません。しかし、環境内で補助サービスが壊れている可能性があります...以前にこれらの証明書を使用していたものは何でも、わかりません。

•証明書の有効期限が切れると、マシンは新しい証明書を取得できますか?

グループポリシーと、マシンが自動登録できるようにする証明書テンプレートのアクセス許可の組み合わせを使用して、ActiveDirectoryで証明書の自動登録ポリシーを構成します。 Active Directory環境で証明書を手動で登録する必要はほとんどありません。

私はWindows 2012 R2を使用しているので、ダウンレベルのNTLMがKerberosの代わりに使用される可能性があり、これは問題ではありません...これがすべてのケースで受け入れられるかどうかはわかりません(例:DCOM登録)証明書の)

エンタープライズCAからの証明書に登録するクライアントの機能は、そのクライアントが有効な証明書を持っているかどうかに影響されません。これは、あなたの投稿からわかるものとは異なる証明書テンプレートであるため、古い証明書テンプレートの有効期限が切れているという事実は、コンピューターが自動的に再登録できるかどうかには影響しません。新しいテンプレートの場合は、その新しいテンプレートの自動登録を許可するようにグループポリシーを構成する必要があります。

**-この議論の目的ではありません。

9
Ryan Ries

ワークステーション証明書は何に使用されますか? Kerberos?

これらは、セキュリティで保護されたチャネルのネゴシエーション中のクライアント認証に使用できます(たとえば、IPsecまたはL2TP VPNで)。これらは、マシンの起動時の初期クライアント認証には使用されません。

ユーザー/マシンは月曜日の朝(有効期限後)にログインできますか?

はい、なぜですか?

証明書の有効期限が切れると、マシンは新しい証明書を取得できますか?

手動-はい、自動-いいえ。自動登録を使用している場合でも、有効期限が切れる前に更新する必要があります。そうしないと、自動登録は更新要求に署名できません。

要約すると、クライアント証明書は、一部のアプリケーションが(ユーザーではなく)コンピューターに対して証明書ベースの認証を実行するように構成されるまで使用されません。

3
Crypt32

MSFTからの応答:ケース114120112106756

クライアント認証を検索するアプリケーションには、クライアント認証証明書(コンピューターまたはワークステーションテンプレートを介してコンピューターに発行される証明書)が必要です。

クライアント証明書を確認するかどうかのアプリケーション構成です。たとえば、SCCMは、クライアント証明書を介してクライアントの信頼性をチェックするように構成できます。IIS WebアプリケーションまたはLDAPoverSSLと同じです。

証明書は、クライアントがアプリケーションで開始するSSL/TLS通信でのみ必要で、その逆も同様です。 Kerberosはさまざまなアプリケーション層で動作するため、証明書は必要ありません。

EAP(拡張認証プロトコル)の場合は証明書を選択します。アプリケーション(構成されている場合)がTLS/SSL通信が成功するためにクライアント証明書を探すので、クライアントが正当であることを証明し、信頼できる認証局から発行された証明書がクライアントに存在することを確認する必要があります。

0
goodguys_activate