许多工作站都拥有使用工作站身份验证 CA 模板颁发的即将过期的计算机证书。此模板的 CA 将在 2 天内过期。
我已经部署了一个新的 CA,并延长了日期,并且在本周末成功注册了许多机器。
我现在担心的是已关闭电源或未从企业 CA 获取新计算机证书的工作站。
问:
- 工作站证书有什么用处?Kerberos?
- 用户/机器是否可以在周一早上登录(到期日期之后)?
- 一旦证书过期,机器还可以获得新的证书吗?
由于我使用的是 Windows 2012 R2,所以可能会使用低级 NTLM 来替代 Kerberos,这不是问题……尽管我不确定这是否在所有情况下都是可以接受的:(例如 DCOM 证书注册)
答案1
• 工作站证书有什么用处?Kerberos?
否。Kerberos 不使用 SSL/TLS 证书。**
管理员可以选择将给定的证书模板用于任意数量的不同事项,因此我认为我们现在不可能知道这些证书在您的环境中到底用于什么用途。
不过,工作站身份验证模板与计算机证书模板非常相似。这两个证书模板都提供计算机身份验证。因此,证书可用于建立机器对机器的 SSL/TLS 连接。
例如,工作站身份验证证书可能已经用于使用 SCCM 进行客户端身份验证,以便 SCCM 知道它正在与正确的客户端对话。
• 用户/机器是否能够在周一早上登录(到期日之后)?
很有可能。在典型配置下,Active Directory 不需要证书即可登录域。但您的环境中可能有一些辅助服务出现故障……之前使用这些证书的是什么,我们不知道。
• 一旦证书过期,机器是否可以获取新的证书?
您可以使用组策略和证书模板上的权限组合在 Active Directory 中配置证书自动注册策略,以允许计算机自动注册。您几乎永远不需要或不想在 Active Directory 环境中手动注册证书。
由于我使用的是 Windows 2012 R2,所以可能会使用低级 NTLM 来替代 Kerberos,这不是问题……尽管我不确定这是否在所有情况下都是可以接受的:(例如 DCOM 证书注册)
客户端是否拥有有效证书不会影响其从企业 CA 注册证书的能力。从您的帖子中我可以看出,这是一个不同的证书模板,因此旧证书模板是否过期不会影响计算机是否可以自动重新注册。如果是新模板,则需要配置组策略以允许自动注册该新模板。
**——不属于本次讨论的目的。
答案2
工作站证书有什么用处?Kerberos?
它们可用于安全通道协商期间的客户端身份验证(例如,在 IPsec 或 L2TP VPN 中)。它们不用于机器启动时的初始客户端身份验证。
用户/机器是否可以在周一早上登录(到期日期之后)?
是的,为什么不?
一旦证书过期,机器还可以获得新的证书吗?
手动——是,自动——否。即使您使用自动注册,也必须在到期前进行续订,否则,自动注册将无法签署续订请求。
总结一下:直到某个应用程序配置为对计算机(而非用户)执行基于证书的身份验证时,才会使用客户端证书。
答案3
MSFT 的回应:案例 114120112106756
任何寻求客户端身份验证的应用程序都需要客户端身份验证证书(通过计算机或工作站模板颁发给计算机的证书)。
是否检查客户端证书是应用程序配置。例如,可以配置 SCCM 通过客户端证书检查客户端真实性。与 IIS Web 应用程序或 SSL 上的 LDAP 相同。
仅当客户端与应用程序发起 SSL/TLS 通信(反之亦然)时才需要证书。Kerberos 在不同的应用程序层上运行,因此不需要证书。
如果是 EAP(扩展身份验证协议),我们会选择证书。现在,由于应用程序(如果已配置)会查找客户端证书以成功进行 TLS/SSL 通信,因此您必须确保客户端拥有可证明客户端合法且由受信任的证书颁发机构颁发的证书。