我对此进行了调查,但无法找到问题的明确答案。我以前从未在 Active Directory 中使用过证书服务,因此不确定其可能的用途/实现。
背景简介:我们希望建立一个带有网关服务器的远程桌面场,以允许远程用户无需 VPN 即可连接到该场。为了让用户能够连接,我们需要为网关服务器安装受信任的证书。
在我的测试环境中,我使用了自签名证书并手动安装到受信任的根证书颁发机构,效果非常好!这意味着我们安装此证书的任何设备都可以连接。
显然,我们不想手动完成此操作,所以我认为最好的办法是从 VeriSign 等公司购买证书。我考虑过 AD 中的证书服务,想知道我们是否可以使用内部证书颁发机构简单地创建自己的证书。
本质上,我的问题归结为:加入域的计算机是否会自动信任同一域上的 CA 颁发的证书,还是仍需要在每个客户端设备上手动安装它们?我们有没有办法使用 Windows Server 的此功能来节省一些证书费用?
答案1
本质上我的问题可以归结为:加入域的计算机是否会自动信任由同一域上的 CA 颁发的证书,还是仍需要在每个客户端设备上手动安装它们?
通常,内部 PKI 的根证书通过 GPO 分发给所有客户端。这使得它“自动”
答案2
本质上我的问题可以归结为:加入域的计算机是否会自动信任由同一域上的 CA 颁发的证书,还是仍需要在每个客户端设备上手动安装它们?
客户端不会自动信任来自内部 CA 的证书。
也就是说,不需要手动分发证书,因为可以通过 GPO 完成。 有关此过程的 Technet“指南”在此处,而且您可以使用 GPO 和内部证书颁发机构做很多事情,而不仅仅是这些。例如,我们使用我们的证书来分发证书,以允许与 WPA2-enterprise 实现自动无线连接,使我们的客户信任我们环境中的所有 SSL 服务(打印机、带外管理,甚至我们的备份软件),这样用户就不会收到证书警告,等等。
无论如何,在组策略管理控制台中,前往:
Computer Configuration-> Windows Settings-> Security Setting-> Public Key Policies->Trusted Publishers并将您的证书添加到“受信任的根证书颁发机构”存储区,然后您就可以继续执行您想要的操作了。
答案3
我知道这已经过时了,但为了向未来的研究人员澄清:
安装在 AD 林中的企业证书颁发机构将自动地通过 Active Directory 而不是 GPO 将 CA 的证书发布给域成员。虽然您可以通过 GPO 分发证书,但对于企业 CA,您不需要这样做(对于企业 CA,可能也不应该这样做,因为这会导致您的受信任根证书颁发机构存储中的 CA 证书重复)
独立 CA 不会通过 AD 自动分发证书,但您可以手动在 AD 中发布它们。请参阅:https://technet.microsoft.com/en-us/library/cc731612.aspx
这些已发布的证书存储在容器中CN=NTAuthCertificates,CN=公钥服务,CN=服务,CN=配置,DC=yourdomain,DC=com