Windows AD 인증서 서비스를 사용하여 루트 인증서 배포


15

Windows Server는 인증 기관 서비스를 제공합니다. 그러나 설명서에서 루트 인증서가 클라이언트에 어떻게 배포되는지 (또는 경우) 명확하지 않습니다.

  • 도메인 구성원 컴퓨터가 루트 인증서를 자동으로 신뢰합니까?
    • 그렇다면 어떻게 그리고 언제 인증서를받을 수 있습니까?
  • 루트 인증서를 설치하거나 신뢰하는 데 필요한 사용자 상호 작용이 있습니까?
  • 클라이언트가 Active Directory를 폴링합니까? AD DNS에 있습니까?
  • 로그인하는 동안에 만 얻을 수 있습니까?
  • 도메인 구성원이 원격으로 LAN에 VPN을 연결하면 어떻게됩니까?
  • 다른 버전의 Windows 클라이언트에 대한주의 사항이 있습니까?

답변:


17

배포에 사용되는 방법은 설정 한 CA 유형 (독립형 / 엔터프라이즈)에 따라 다릅니다.

독립형 또는 Microsoft 이외의 CA의 경우 일반적으로이를 그룹 정책과 함께 배포합니다.

보다:

도메인에 엔터프라이즈 인증 기관을 설치하면 자동으로 발생합니다.

TechNet : 엔터프라이즈 인증 기관 ( 여기서 보관 )

엔터프라이즈 루트 CA를 설치하면 그룹 정책을 사용하여 해당 인증서를 도메인의 모든 사용자와 컴퓨터에 대한 신뢰할 수있는 루트 인증 기관 인증서 저장소로 전파합니다.


그룹 정책을 사용한다는 것은 도메인에 연결되어있는 동안 로그인하는 동안에 만 발생한다는 것을 의미합니다. VPN을 통해 도메인에 연결하고 로그인하는 사람이 불행한가요?
wfaulk

Kinda는 VPN에 의존합니다. Windows 2003 이후로는하지 않았지만 실제로 로그온시 VPN을 시작할 수 있으며 정책 / 로그인 스크립트가 적용됩니다. 그것이 더 이상 가능한지 확실하지 않으며, 타사 VPN으로 작업 할 가능성이 훨씬 적습니다.
Zoredache

Windows 7의 네트워크로 로그인 -level2it.wordpress.com/2009/11/05/…
Zoredache

실제로, 그것을 올바르게 다시 읽으면 GP를 사용하여 인증서를 인증서 저장소로 푸시한다고 말합니다. 클라이언트는 어떻게 검색합니까? 아니면 내가 잘못 읽고 있습니까?
wfaulk

1
엔터프라이즈 CA는 인증서를 GPO로 푸시합니다. 컴퓨터는 GPO를 적용하여 신뢰할 수있는 저장소에 CA를 설치합니다. 엔터프라이즈 CA가 '기본 도메인 정책'에 게시한다고 생각합니다.
Zoredache

4

CA를 설정하고 Cert가 ADDS에 저장되면 컴퓨터는 다음 부팅시이를 인증하여 컴퓨터의 신뢰할 수있는 루트 저장소에 저장합니다. 일반적으로 CA는 도메인 구성원 컴퓨터에 대한 추가 작업없이 모든 인증서 요구에 대해 CA를 사용하기위한 옵션이 열리므로 관리하는 모든 AD 도메인에 CA를 배치합니다. 여기에는 인증서를 사용하는 Windows Server 2008 R2 SSTP VPN 또는 L2TP IPSec이 포함됩니다. 기존 PPTP는 인증서를 사용하지 않습니다.

약간 관련이 없지만 로그인 하는 동안 사람들이 VPN을 사용하도록하려면 GPO를 사용하여 VPN 구성을 푸시하거나 컴퓨터에서 VPN을 수동으로 만들 때 VPN 구성을 저장하는 "모든 사용자가 사용할 수 있도록 설정"상자를 선택하십시오. 특정 사용자 프로필 대신 공개 프로필. 완료되면 로그인하기 전에 사용자 전환 버튼 (vista / 7)을 클릭하면 종료 버튼 옆에 새로운 VPN 아이콘이 표시됩니다. "네트워크에 먼저 접속하지 않고 새 사용자가 로그인"문제를 해결합니다.

마지막으로 루트 CA를 만들 때 Windows Enterprise가 실행되고 있는지 확인하거나 인증서 서비스가 표준 버전으로 손상 될 수 있으며 향후 몇 년 동안 작업을 저장하기 위해 만료를 10 년 미만으로 만들지 않을 것입니다.


0

표준 관행은 GPO (그룹 정책 개체)를 통해 자신의 도메인을 포함하여 모든 신뢰할 수있는 루트 인증서를 배포하는 것입니다. 도메인 컴퓨터도메인 컨트롤러 BUILTIN 보안 그룹 에 대한 적절한 링크 및 보안 필터링을 사용하여 새 GPO를 만들어이 작업을 수행 할 수 있습니다 . 이렇게하면 도메인에 가입 한 Windows 컴퓨터 개체에 표준화 된 신뢰할 수있는 루트 인증서 집합이 있습니다.

GPO 자체는 Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities올바른 저장소 에서 찾아서 지정할 수 있습니다 . 그런 다음 클라이언트는 재시작시 및 / 또는 다음 GPO 처리 간격 동안 정책을 받게되며이 gpupdate /force명령 은 명령을 사용하여 강제로 적용 할 수 있습니다 .

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.