web-dev-qa-db-ja.com

Windows AD証明書サービスを使用したルート証明書の配布

Windows Serverは認証局サービスを提供します。ただし、ドキュメントからルート証明書がクライアントに配布される方法(またはその場合)は明確ではありません。

  • ドメインメンバーのコンピューターは自動的にルート証明書を信頼しますか?
    • もしそうなら、いつ、どのようにして証明書を取得しますか?
  • ルート証明書をインストールまたは信頼するために必要なユーザー操作はありますか?
  • クライアントはActive Directoryをポーリングしますか? AD DNSにありますか?
  • ログイン中にのみ取得しますか?
  • ドメインメンバーがリモートでVPNをLANに接続している場合はどうなりますか?
  • Windowsクライアントのバージョンが異なる場合の注意点はありますか?
15
wfaulk

配布に使用される方法は、セットアップするCAのタイプ(スタンドアロン/エンタープライズ)によって異なります。

スタンドアロンまたはMicrosoft以外のCAの場合、通常、これをグループポリシーと共に配布します。

見る:

エンタープライズ認証局をドメインにインストールすると、これは自動的に行われます。

TechNetから: Enterprise証明機関 (アーカイブ ここ 。)

エンタープライズルートCAをインストールすると、グループポリシーを使用して、ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関の証明書ストアに証明書が伝達されます。

17
Zoredache

CAをセットアップしてCertをADDSに保存すると、コンピューターは次回の起動時にそれを取得し、コンピューターの信頼されたルートストアに保存するのが私の経験です。ドメインメンバーのコンピューターに追加の作業をせずに、証明書のすべてのニーズにCAを使用するためのオプションを開くため、私は通常、管理するすべてのADドメインにCAを配置します。これには、証明書を使用するWindows Server 2008 R2 SSTP VPNまたはL2TP IPSecが含まれます。従来のPPTPは証明書を使用しません。

少しは無関係ですが、duringログインでVPNを使用する場合は、GPOを使用してVPN構成をプッシュするか、コンピューター上で手動でVPNを作成するときにチェックしてください。 VPN構成を特定のユーザープロファイルではなくパブリックプロファイルに保存する[すべてのユーザーが利用できるようにする]ボックス。完了したら、ログインする前にユーザーの切り替えボタン(Vista/7)をクリックすると、新しいVPNが表示されますシャットダウンボタンの右下にあるアイコンこれにより、「最初にネットワークに接続せずにログインする新しいユーザー」の問題が解決されます。

最後に、ルートCAを作成するときは、それがWindows Enterpriseを実行していることを確認してください。そうしないと、証明書サービスが無効になり(Standard ed。)、将来の作業を節約するために有効期限を10年未満にしないでください。

4
Bret Fisher

標準的な方法は、グループポリシーオブジェクト(GPO)を介して、独自のドメイン内を含む、信頼されたルート証明書を配布することです。これは、適切なリンクとドメインコンピューターおよびドメインコントローラー BUILTINセキュリティグループに対するセキュリティフィルタリングを使用して、新しいGPOを作成することで実行できます。これはドメインに参加しているWindowsコンピューターオブジェクトに、標準化された信頼されたルート証明書のセットがあることを確認します。

GPO自体はComputer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesにあり、正しいストアを指定しています。クライアントは、再起動時および/または次回の間にポリシーを受け取りますGPO = gpupdate /forceコマンドを使用して強制できる処理間隔。

0
Cale Vernon