Distribución del certificado raíz con los Servicios de certificados de Windows AD

Windows Server proporciona un servicio de autoridad de certificación. Sin embargo, no está claro en su documentación cómo (o si) el certificado raíz se distribuye a los clientes.

• ¿Las computadoras miembro del dominio confían automáticamente en el certificado raíz?
  • Si es así, ¿cómo y cuándo obtienen el certificado?
• ¿Se requiere alguna interacción del usuario para instalar o confiar el certificado raíz?
• ¿El cliente sondea Active Directory? ¿Está en AD DNS?
• ¿Solo lo obtendrá durante el inicio de sesión?
• ¿Qué sucede si un miembro del dominio VPN de forma remota en la LAN?
• ¿Hay alguna advertencia para las diferentes versiones de los clientes de Windows?

El método utilizado para la distribución depende del tipo de CA que configure (independiente / empresa).

Para una CA independiente o que no sea de Microsoft, generalmente distribuye esto con una política de grupo.

Ver:

• Pregunta relacionada: SF: ¿Cómo implemento una autoridad de certificación interna?
• TechNet: use la política para distribuir certificados

Cuando instala una autoridad de certificación Enterprise en un dominio, esto sucede automáticamente.

De TechNet: Autoridades de certificación empresarial (Archivado aquí ).

Cuando instala una CA raíz de empresa, utiliza la Política de grupo para propagar su certificado al almacén de certificados de las Autoridades de certificación raíz de confianza para todos los usuarios y equipos del dominio.

Según mi experiencia, una vez que configura la CA y el Certificado se almacena en ADDS, una computadora lo tomará en el próximo arranque y lo almacenará en el almacén raíz de confianza de la computadora. Generalmente pongo CA en todos los dominios de AD que administro, ya que abre opciones para usar CA para todas sus necesidades de certificados sin ningún trabajo adicional para las computadoras miembros del dominio. Esto incluye Windows Server 2008 R2 SSTP VPN o L2TP IPSec que utiliza certificados. PPTP tradicional no utiliza certificados.

Ligeramente no relacionado, pero si desea que las personas accedan a VPN durante el inicio de sesión, debe usar GPO para impulsar una configuración de VPN o cuando cree manualmente la VPN en una computadora, marque la casilla "poner a disposición de todos los usuarios" que almacena la configuración de VPN en el perfil público en lugar del perfil de usuario específico. Una vez hecho esto, antes de iniciar sesión, haga clic en el botón Cambiar usuario (vista / 7) y verá un nuevo icono de VPN en la parte inferior derecha junto al botón de apagado. Eso resuelve el problema de "un nuevo usuario que inicia sesión sin estar primero en la red".

Por último, cuando cree la CA raíz, asegúrese de que esté ejecutando Windows Enterprise o que el Servicio de certificados esté paralizado (en la edición estándar) y no expire en menos de 10 años para ahorrarle algo de trabajo en el futuro.

Una práctica estándar es distribuir los certificados de Trusted Root, incluso dentro de su propio dominio, a través de Group Policy Objects (GPO). Esto se puede hacer creando un nuevo GPO con enlaces y filtros de seguridad adecuados contra los equipos de dominio y los controladores de dominio BUILTIN Security Groups. Esto garantiza que los objetos de computadora con Windows unidos al dominio tengan un conjunto estandarizado de certificados raíz de confianza.

El GPO se puede encontrar Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesy designar la tienda correcta. Los clientes recibirán la política al reiniciar y / o durante su próximo intervalo de procesamiento de GPO, que se puede forzar con el gpupdate /forcecomando.