Windows Server는 인증 기관 서비스를 제공합니다. 그러나 설명서에서 루트 인증서가 클라이언트에 어떻게 배포되는지 (또는 경우) 명확하지 않습니다.
답변:
배포에 사용되는 방법은 설정 한 CA 유형 (독립형 / 엔터프라이즈)에 따라 다릅니다.
독립형 또는 Microsoft 이외의 CA의 경우 일반적으로이를 그룹 정책과 함께 배포합니다.
보다:
도메인에 엔터프라이즈 인증 기관을 설치하면 자동으로 발생합니다.
TechNet : 엔터프라이즈 인증 기관 ( 여기서 보관 )
엔터프라이즈 루트 CA를 설치하면 그룹 정책을 사용하여 해당 인증서를 도메인의 모든 사용자와 컴퓨터에 대한 신뢰할 수있는 루트 인증 기관 인증서 저장소로 전파합니다.
CA를 설정하고 Cert가 ADDS에 저장되면 컴퓨터는 다음 부팅시이를 인증하여 컴퓨터의 신뢰할 수있는 루트 저장소에 저장합니다. 일반적으로 CA는 도메인 구성원 컴퓨터에 대한 추가 작업없이 모든 인증서 요구에 대해 CA를 사용하기위한 옵션이 열리므로 관리하는 모든 AD 도메인에 CA를 배치합니다. 여기에는 인증서를 사용하는 Windows Server 2008 R2 SSTP VPN 또는 L2TP IPSec이 포함됩니다. 기존 PPTP는 인증서를 사용하지 않습니다.
약간 관련이 없지만 로그인 하는 동안 사람들이 VPN을 사용하도록하려면 GPO를 사용하여 VPN 구성을 푸시하거나 컴퓨터에서 VPN을 수동으로 만들 때 VPN 구성을 저장하는 "모든 사용자가 사용할 수 있도록 설정"상자를 선택하십시오. 특정 사용자 프로필 대신 공개 프로필. 완료되면 로그인하기 전에 사용자 전환 버튼 (vista / 7)을 클릭하면 종료 버튼 옆에 새로운 VPN 아이콘이 표시됩니다. "네트워크에 먼저 접속하지 않고 새 사용자가 로그인"문제를 해결합니다.
마지막으로 루트 CA를 만들 때 Windows Enterprise가 실행되고 있는지 확인하거나 인증서 서비스가 표준 버전으로 손상 될 수 있으며 향후 몇 년 동안 작업을 저장하기 위해 만료를 10 년 미만으로 만들지 않을 것입니다.
표준 관행은 GPO (그룹 정책 개체)를 통해 자신의 도메인을 포함하여 모든 신뢰할 수있는 루트 인증서를 배포하는 것입니다. 도메인 컴퓨터 및 도메인 컨트롤러 BUILTIN 보안 그룹 에 대한 적절한 링크 및 보안 필터링을 사용하여 새 GPO를 만들어이 작업을 수행 할 수 있습니다 . 이렇게하면 도메인에 가입 한 Windows 컴퓨터 개체에 표준화 된 신뢰할 수있는 루트 인증서 집합이 있습니다.
GPO 자체는 Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities올바른 저장소 에서 찾아서 지정할 수 있습니다 . 그런 다음 클라이언트는 재시작시 및 / 또는 다음 GPO 처리 간격 동안 정책을 받게되며이 gpupdate /force명령 은 명령을 사용하여 강제로 적용 할 수 있습니다 .