Distribution du certificat racine avec les services de certificats Windows AD

Windows Server fournit un service d'autorité de certification. Cependant, sa documentation ne précise pas comment (ou si) le certificat racine est distribué aux clients.

• Les ordinateurs membres du domaine approuvent-ils automatiquement le certificat racine?
  • Si oui, comment et quand obtiennent-ils le certificat?
• Une interaction utilisateur est-elle requise pour que le certificat racine soit installé ou approuvé?
• Le client interroge-t-il Active Directory? Est-ce dans AD DNS?
• Le recevra-t-il uniquement lors de la connexion?
• Que faire si un membre du domaine VPN à distance dans le LAN?
• Existe-t-il des mises en garde pour les différentes versions des clients Windows?

La méthode utilisée pour la distribution dépend du type d'autorité de certification que vous configurez (autonome / entreprise).

Pour une autorité de certification autonome ou non Microsoft, vous la distribuez généralement avec une stratégie de groupe.

Voir:

• Question connexe: SF: Comment déployer une autorité de certification interne?
• TechNet: utiliser la stratégie pour distribuer des certificats

Lorsque vous installez une autorité de certification d'entreprise dans un domaine, cela se produit automatiquement.

De TechNet: autorités de certification d'entreprise (archivé ici .)

Lorsque vous installez une autorité de certification racine d'entreprise, elle utilise la stratégie de groupe pour propager son certificat vers le magasin de certificats des autorités de certification racines de confiance pour tous les utilisateurs et ordinateurs du domaine.

D'après mon expérience, une fois que vous avez configuré l'autorité de certification et que le certificat est stocké dans ADDS, un ordinateur le récupérera au prochain démarrage et le stockera dans le magasin racine de confiance de l'ordinateur. Je place généralement les autorités de certification dans tous les domaines AD que je gère, car cela ouvre des options d'utilisation de l'autorité de certification pour tous vos besoins de certificats sans aucun travail supplémentaire pour les ordinateurs membres du domaine. Cela inclut le VPN SSTP Windows Server 2008 R2 ou IPSec L2TP qui utilise des certificats. PPTP traditionnel n'utilise pas de certificats.

Légèrement sans rapport, mais si vous voulez que les gens se connectent au VPN pendant la connexion, vous devez utiliser le GPO pour pousser une configuration VPN ou lorsque vous créez manuellement le VPN sur un ordinateur, cochez la case "rendre disponible pour tous les utilisateurs" qui stocke la configuration VPN dans le profil public plutôt que le profil utilisateur spécifique. Une fois cela fait, avant de vous connecter, cliquez sur le bouton Changer d'utilisateur (Vista / 7) et vous verrez une nouvelle icône VPN en bas à droite par le bouton d'arrêt. Cela résout le problème "d'un nouvel utilisateur se connectant sans être d'abord sur le réseau".

Enfin, lorsque vous créez l'autorité de certification racine, assurez-vous qu'elle exécute Windows Enterprise ou le service de certificats sera paralysé (dans la version Standard) et je ne ferais pas l'expiration moins de 10 ans pour vous faire économiser du travail à l'avenir.

Une pratique standard consiste à distribuer tous les certificats racine de confiance, y compris dans votre propre domaine, via des objets de stratégie de groupe (GPO). Cela peut être fait en créant un nouvel objet de stratégie de groupe avec une liaison et un filtrage de sécurité appropriés par rapport aux groupes de sécurité BUILTIN des ordinateurs et des contrôleurs de domaine . Cela garantit que les objets ordinateur Windows joints au domaine disposent d'un ensemble normalisé de certificats racine de confiance.

Le GPO lui-même peut être trouvé Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritieset désigner le magasin correct. Les clients recevront ensuite la stratégie au redémarrage et / ou au cours de leur prochain intervalle de traitement GPO, qui peut être forcé à l'aide de la gpupdate /forcecommande.