使用Windows AD证书服务分发根证书

Windows Server提供证书颁发机构服务。 但是,从文档中不清楚如何(或者如果)根证书分发给客户端。

  • 域成员计算机是否自动信任根证书?
    • 如果是这样,他们如何以及何时获得证书?
  • 是否需要安装或信任根证书的用户交互?
  • 客户端是否在轮询Active Directory? 它在AD DNS吗?
  • 它只会在login过程中得到它吗?
  • 如果域成员远程VPN到局域网怎么办?
  • 是否有不同版本的Windows客户端的警告?

用于分发的方法取决于您设置的CA的types(独立/企业)。

对于独立或非微软的CA,您通常会使用组策略来分发此信息。

看到:

  • 相关问题:SF: 我如何部署内部证书颁发机构?
  • TechNet: 使用策略分发证书

在域中安装企业证书颁发机构时,会自动发生这种情况。

来自TechNet: 企业authentication机构 ( 在此处存档)

安装企业根CA时,它使用组策略将其证书传播到域中所有用户和计算机的受信任根证书颁发机构证书存储区。

这是我的经验,一旦你设置CA和证书被存储在ADDS,一台计算机将抓住它在下次启动,并存储在计算机受信任的根存储。 我通常把CA放在我所pipe理的所有AD域中,因为它打开了将CA用于所有证书需求的选项,而不需要额外的域成员计算机工作。 这包括使用证书的Windows Server 2008 R2 SSTP VPN或L2TP IPSec。 传统的PPTP不使用证书。

稍微不相关,但是如果你希望人们login期间使用VPN,你应该使用GPO来推送一个VPNconfiguration,或者当你在一台计算机上手动创buildVPN时,检查“允许所有用户”公共configuration文件而不是特定用户configuration文件。 一旦完成,在login之前,点击切换用户button(vista / 7),你会看到closuresbutton右下angular的一个新的VPN图标。 这解决了“一个新的用户先login而不在networking上”的问题。

最后,当您创build根CA时,请确保它正在运行Windows Enterprise或证书服务将被削弱(以标准版为准),并且我将不会在10年后过期以节省您未来的一些工作。