Distribution du certificat racine avec les services de certificats Windows AD
Windows Server fournit un service d'autorité de certification. Cependant, sa documentation ne précise pas comment (ou si) le certificat racine est distribué aux clients.
- Les ordinateurs membres du domaine approuvent-ils automatiquement le certificat racine?
- Si oui, comment et quand obtiennent-ils le certificat?
- Une interaction utilisateur est-elle requise pour que le certificat racine soit installé ou approuvé?
- Le client interroge-t-il Active Directory? Est-ce dans AD DNS?
- Le recevra-t-il uniquement lors de la connexion?
- Que faire si un membre du domaine VPN à distance dans le LAN?
- Existe-t-il des mises en garde pour les différentes versions des clients Windows?
La méthode utilisée pour la distribution dépend du type d'autorité de certification que vous configurez (autonome/entreprise).
Pour une autorité de certification autonome ou non Microsoft, vous la distribuez généralement avec une stratégie de groupe.
Voir:
- Question connexe: SF: Comment puis-je déployer une autorité de certification interne?
- TechNet: Utiliser la stratégie pour distribuer des certificats
Lorsque vous installez une autorité de certification d'entreprise dans un domaine, cela se produit automatiquement.
Depuis TechNet: Autorités de certification d'entreprise (Archivé ici .)
Lorsque vous installez une autorité de certification racine d'entreprise, elle utilise la stratégie de groupe pour propager son certificat vers le magasin de certificats des autorités de certification racines de confiance pour tous les utilisateurs et ordinateurs du domaine.
D'après mon expérience, une fois que vous avez configuré l'autorité de certification et que le certificat est stocké dans ADDS, un ordinateur le récupérera au prochain démarrage et le stockera dans le magasin racine de confiance de l'ordinateur. Je place généralement les autorités de certification dans tous les domaines AD que je gère, car cela ouvre des options d'utilisation de l'autorité de certification pour tous vos besoins de certificats sans aucun travail supplémentaire pour les ordinateurs membres du domaine. Cela inclut le VPN SSTP Windows Server 2008 R2 ou IPSec L2TP qui utilise des certificats. Traditionnel PPTP n'utilise pas de certificats.
Légèrement sans rapport, mais si vous voulez que les gens se connectent au VPN dans pendant connexion, vous devez utiliser GPO pour pousser une configuration VPN ou lorsque vous créez manuellement le VPN sur un ordinateur, vérifiez la case "rendre disponible pour tous les utilisateurs" qui stocke la configuration VPN dans le profil public plutôt que le profil utilisateur spécifique. Une fois cela fait, avant de vous connecter, cliquez sur le bouton Changer d'utilisateur (Vista/7) et vous verrez un nouveau VPN icône en bas à droite par le bouton d'arrêt. Cela résout le problème "d'un nouvel utilisateur se connectant sans être d'abord sur le réseau".
Enfin, lorsque vous créez l'autorité de certification racine, assurez-vous qu'elle exécute Windows Enterprise ou le service de certificats sera paralysé (dans la version Standard) et je ne ferais pas l'expiration moins de 10 ans pour vous faire économiser du travail à l'avenir.
Une pratique standard consiste à distribuer tous les certificats racine de confiance, y compris dans votre propre domaine, via des objets de stratégie de groupe (GPO). Cela peut être fait en créant un nouveau GPO avec une liaison et un filtrage de sécurité appropriés par rapport aux ordinateurs de domaine et contrôleurs de domaine groupes de sécurité BUILTIN. garantit que les objets ordinateur Windows joints au domaine disposent d'un ensemble normalisé de certificats racine de confiance.
Le GPO lui-même peut être trouvé dans Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities et en désignant le bon magasin. Les clients recevront ensuite la stratégie au redémarrage et/ou lors de leur prochain GPO intervalle de traitement, qui peut être forcé à l'aide de gpupdate /force commande.