我已经调查了这一点,但一直无法find我的问题的明确答案。 我从来没有在活动目录中使用证书服务,所以我不确定它的可能用法/实施。
快速背景:我们正在设置一个带有网关服务器的远程桌面服务器,以允许远程用户在没有VPN的情况下连接到服务器场。 为了让用户连接,我们需要为网关服务器安装可信的证书。
在我的testing环境中,我使用了自签名证书,并手动安装到受信任的根证书颁发机构,这很好! 这意味着我们安装此证书的任何设备都可以连接。
显然,我们不希望手动执行此操作,所以我认为最好的方法是从VeriSign等人处购买证书。 我想到了AD中的证书服务,并想知道是否可以使用内部authentication机构简单地创build自己的证书。
本质上,我的问题归结为:join域的计算机是否自动信任相同域上的CA颁发的证书,还是需要手动安装在每个客户端设备上? 无论如何,我们可以使用Windows Server的这个function来节省我们的一些钱在证书上?
本质上,我的问题归结为:join域的计算机是否自动信任相同域上的CA颁发的证书,还是需要手动安装在每个客户端设备上?
通常,内部PKI的根证书通过GPO分发给所有客户端。 这使得它“自动”
本质上,我的问题归结为:join域的计算机是否自动信任相同域上的CA颁发的证书,还是需要手动安装在每个客户端设备上?
客户端不会自动信任来自内部CA的证书,不会。
也就是说,不需要手动分发证书,因为可以通过GPO完成。 关于这个过程的Technet“指南”就在这里 ,你可以用GPO和内部authentication中心做更多的事情。 例如,我们使用我们的分布证书来允许WPA2企业实现自动无线连接,使我们的客户信任我们环境中的所有SSL服务(打印机,带外pipe理,甚至是我们的备份软件),因此用户不会获得证书警告,等等。
无论如何,在组策略pipe理控制台中,转到:
Computer Configuration – > Windows Settings – > Security Setting – > Public Key Policies – > Trusted Publishers ,并将您的证书添加到“受信任的根证书颁发机构”商店,您可以随心所欲地进行操作。
我知道这是古老的,但为了澄清未来的研究人员:
安装到AD林中的企业证书颁发机构将通过Active Directory(而不是GPO) 自动将CA的证书发布给域成员。 虽然您可以通过GPO分发证书,但您不需要为企业CA(也可能不应该为企业CA,因为这会导致您的受信任的根证书颁发机构存储区中CA的证书重复)
独立CA不会通过AD自动分发证书,但可以手动将其发布到AD中。 请参阅: https : //technet.microsoft.com/en-us/library/cc731612.aspx
这些已发布的证书存储在容器CN = NTAuthCertificates,CN =公钥服务,CN =服务,CN =configuration,DC = yourdomain,DC = com