许多工作站具有使用工作站身份validationCA模板颁发的过期计算机证书。 此模板的CA在2天内过期。
我已经部署了一个新的CA,有一个延长的date,并在本周末成功地注册了许多机器。
我现在担心closures的工作站,或者没有从企业CA获得新的计算机证书。
问:
由于我使用的是Windows 2012 R2,所以可能会使用低级别的NTLM作为Kerberos的替代品,这不是问题…虽然我不确定在所有情况下这是否可以接受:(例如DCOM注册的证书)
•用于工作站证书的是什么? Kerberos的?
否。Kerberos不使用SSL / TLS证书。**
pipe理员可以select使用给定的证书模板来处理许多不同的事情,所以我想说我们现在不可能知道你的环境中使用了哪些证书。
不过,工作站身份validation模板与计算机证书模板非常相似。 这两个证书模板都提供计算机身份validation。 所以证书可以用来build立机器对机器的SSL / TLS连接。
例如,工作站身份validation证书可能已被使用的一个例子是与SCCM进行客户端身份validation,以便SCCM知道正在与正确的客户端交谈。
•用户/机器是否可以在星期一上午(过期后)login?
最有可能的。 Active Directory不需要证书即可在典型configuration下login到域。 但是你可能在你的环境中有一些辅助服务,打破了以前使用这些证书的任何事情,我们不知道。
•证书过期后,机器是否可以获得新的证书?
在Active Directory中configuration证书自动注册策略,方法是使用组策略和证书模板上允许机器自动注册的权限。 您几乎从不需要或不希望在Active Directory环境中手动注册证书。
由于我使用的是Windows 2012 R2,所以可能会使用低级别的NTLM作为Kerberos的替代品,这不是问题…虽然我不确定在所有情况下这是否可以接受:(例如DCOM注册的证书)
客户从企业CA注册证书的能力不会受到客户是否拥有有效证书的影响。 这是从我的post可以看出来的不同证书模板,因此旧证书模板已过期的事实将无法播放,计算机是否可以自动重新注册。 如果是新模板,则需要configuration组策略以允许自动注册该新模板。
** – 不是为了讨论的目的。
什么是工作站证书用于? Kerberos的?
它们可用于安全通道协商期间的客户端身份validation(例如,在IPsec或L2TP VPN中)。 机器启动时,它们不用于初始客户机authentication。
用户/机器是否可以在星期一上午(过期date)login?
是的,为什么不?
一旦证书过期,机器能否获得新的证书?
手动 – 是的,自动 – 不。 即使您正在使用自动注册,也必须在到期前续订,否则自动注册将无法签署续约请求。
并总结:客户端证书不被使用,直到一些应用程序被configuration为执行基于证书的身份validation的计算机(而不是用户)。
来自MSFT的回复:案例114120112106756
任何查找客户端身份validation的应用程序都需要客户端身份validation证书(通过计算机或工作站模板发给计算机的证书)。
是否检查客户端证书是应用程序configuration。 例如,可以将SCCMconfiguration为通过客户端证书检查客户端的真实性。 与IIS Web应用程序或LDAP over SSL相同。
只有在客户端使用应用程序进行SSL / TLS通信时才需要证书,反之亦然。 Kerberos在不同的应用程序层上工作,因此不需要证书。
我们在EAP(扩展authentication协议)的情况下select证书。 现在,由于应用程序(如果已configuration)为成功的TLS / SSL通信查找客户端证书,您必须确保证书与客户端一起存在,certificate客户端是合法的,哪些是从可信证书颁发机构颁发的。