Distribuição do certificado raiz com o Windows AD Certificate Services

O Windows Server fornece um serviço de autoridade de certificação. No entanto, na documentação não está claro como (ou se) o certificado raiz é distribuído aos clientes.

• Os computadores membros do domínio confiam automaticamente no certificado raiz?
  • Se sim, como e quando eles recebem o certificado?
• Existe alguma interação do usuário necessária para que o certificado raiz seja instalado ou confiável?
• O cliente consulta o Active Directory? Está no AD DNS?
• Ele só será obtido durante o login?
• E se um membro do domínio remotamente VPNs na LAN?
• Existem advertências para diferentes versões dos clientes Windows?

O método usado para distribuição depende do tipo de CA que você configurou (autônomo / corporativo).

Para uma autoridade de certificação autônoma ou não pertencente à Microsoft, você geralmente distribui isso com uma diretiva de grupo.

Vejo:

• Pergunta relacionada: SF: Como implanto uma autoridade de certificação interna?
• TechNet: Use a política para distribuir certificados

Quando você instala uma autoridade de certificação corporativa em um domínio, isso acontece automaticamente.

Do TechNet: Autoridades de certificação corporativa (arquivadas aqui .)

Quando você instala uma CA raiz corporativa, ela usa a Diretiva de Grupo para propagar seu certificado para o armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis ​​para todos os usuários e computadores no domínio.

É minha experiência que, depois de configurar a CA e o Cert ser armazenado no ADDS, um computador o agarrará na próxima inicialização e armazenará no armazenamento raiz confiável do computador. Geralmente, coloco CAs em todos os domínios do AD que administro, pois abre opções para o uso de CA para todas as suas necessidades de certificado sem qualquer trabalho adicional para computadores membros do domínio. Isso inclui a VPN SSTP do Windows Server 2008 R2 ou o IPSec L2TP que usa certificados. O PPTP tradicional não usa certificados.

Ligeiramente não relacionado, mas se você deseja que as pessoas façam VPN durante o login, use o GPO para enviar por push uma configuração de VPN ou, quando criar manualmente a VPN em um computador, marque a caixa "disponibilizar para todos os usuários" que armazena a configuração da VPN no perfil público em vez do perfil de usuários específicos. Feito isso, antes do login, clique no botão alternar usuário (vista / 7) e você verá um novo ícone de VPN no canto inferior direito do botão desligar. Isso resolve o problema de "um novo usuário efetuando login sem estar na rede primeiro".

Por fim, quando você cria a CA raiz, verifique se ele está executando o Windows Enterprise ou o Serviço de Certificados será aleijado (na Standard ed.) E eu não faria o vencimento em menos de dez anos para poupar algum trabalho no futuro.

Uma prática padrão é distribuir quaisquer certificados de Raiz Confiável, inclusive dentro do seu próprio domínio, por meio de Objetos de Diretiva de Grupo (GPO). Isso pode ser feito criando um novo GPO com vinculação e filtragem de segurança adequados nos grupos de segurança BUILTIN de computadores e controladores de domínio . Isso garante que os objetos de computador do Windows ingressados ​​no domínio tenham um conjunto padronizado de certificados de Raiz Confiável.

O próprio GPO pode ser encontrado Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiese designando o armazenamento correto. Os clientes receberão a política ao reiniciar e / ou durante o próximo intervalo de processamento do GPO, que pode ser forçado usando o gpupdate /forcecomando