web-dev-qa-db-ja.com

信頼できるルート認証局証明書をGPO

Windows XPを実行するワークステーションのあるドメインに、ドメインコントローラーとしてWin2k8があります。 GPOを使用して、自分で生成した新しい信頼されたルート認証局の証明書を介してインストールできます。

GPOを作成し、コンピューターの構成\ Windowsの設定\セキュリティの設定\公開キーのポリシー\信頼されたルート証明機関に証明書をインポートして、GPOをユーザーのグループに割り当てます。ワークステーションでgpupdate/forceを実行しても、インポートされている証明書が表示されない...ステーションを再起動しても.

次に、DCで中間ルート認証局を直接作成し、GPOを介して中間ルート認証局を展開する場合に、もっと良い方法があると思います。中間認証局の証明書を生成してインポートします同じGPO中間認証局の下にあります。

再度、gpupdate/forceを実行(および再起動)し、ワークステーションをチェックしました。中間またはルート機関セクションに何も表示されませんでした。

少しグーグルでこのMSIパッケージ Link を見つけた後、GPOを介して2つのワークステーションにインストールし、ワークステーションでgpupdate/forceを実行しました。中間認証局の証明書がワークステーションにインストールされましたが、ルートCAはインストールされていませんでした。

誰か私が次に試すことができるアイデアはありますか?

ありがとう。

LE。ルートCAがスタンドアロンマシン上にあり、ドメインの一部ではないため、オフラインにしておく予定であることを忘れてしまいました。

4
Chris19

GPOを作成し、証明書をコンピューターの構成\ Windowsの設定\セキュリティの設定\公開キーのポリシー\信頼されたルート証明機関にインポートして、GPOをユーザーのグループに割り当てます

「コンピューターの構成」ポリシーツリーを使用している場合は、コンピューターアカウントが格納されているOUにリンクする必要があります。

証明書をユーザーの証明書ストアにインストールする必要がある場合は、certutil mioghtが役立ちます。 certutilに関するMicrosoftのドキュメント 。使用する certutil -installcert <certfile>(ユーザーとして実行できると思います)またはcertutil -addstore -user root <cert file>ログインスクリプト内。注、私はこれらをテストしていません。コマンドはヘルプから直接ですcertutil -v -?

3

slmは近かったが、「Allow user trusted root CAs to be used to validate certificates "と"Allow users to trust peer trust certificates option in the Per User Certificate Stores "ボックスをチェックします。

  1. GPO証明書のデプロイを編集します
  2. グループポリシー管理エディターで、[コンピューターの構成]> [Windowsの設定]> [公開キーのポリシー]>右ペインの[証明書パス検証設定]をダブルクリックします。
  3. [ストア]タブで、[これらのポリシー設定を定義する]チェックボックスをオンにします。 [ユーザーごとの証明書ストア]で、[ユーザーの信頼されたルートCAが証明書の検証に使用できるようにする]と[ユーザーごとの証明書ストアを許可する]チェックボックスをオンにします。

gpupdate/force PC上で、証明書が展開されます。また、GPO= PCが属するOUにリンクすることも忘れないでください。

0
Rich26

しばらく前に同様の問題がありました。私が正しく覚えていれば、これは私たちを助けました:

  1. [コンピューターの構成]> [Windowsの設定]> [公開キーのポリシー]> [証明書パス検証の設定]をダブルクリックし、[ストア]タブをクリックします。

  2. [これらのポリシー設定を定義する]チェックボックスをオンにします。

  3. [ユーザーごとの証明書ストア]で、[ユーザーごとの証明書ストア]チェックボックスの[ユーザーの信頼されたルートCAが証明書の検証に使用できるようにする]および[ユーザーがピアの信頼証明書を信頼できるようにする]オプションをオフにします。

  4. 次に、gpupdate/forceを使用します。

これで問題が解決することを願っています。

0
Miodrag Prelec

その場合、証明書を発行するために中間CAも展開してみませんか?スタンドアロンCAがドメインコントローラーに接続できる場合、それは自身の証明書を適切なADコンテナーに公開します。これがデフォルトの動作です。自動登録がトリガーされると、コンピューターは証明書を要求できます。最善の方法は、エンタープライズルートと発行CAを使用することです。スタンドアロンCAには、登録と展開に関して制限があります。設定は here にあります。幸運を!

0
Lasith