Создавать / подписывать сертификаты с помощью доверенного корневого сертификата AD?
Я знаю, что при создании домена Active Directory:
- он создает свой собственный корневой сертификат
- и этот корневой сертификат автоматически загружается в машины, когда они присоединяются к домену.
Вы можете найти это домен сертификат в вашем доверенные корневые центры сертификации хранить:
например самоподписанный сертификат нашего домена действителен в течение 50 лет.
Может ли этот сертификат подписывать других?
Вопрос в следующем: может ли этот доверенный корневой сертификат быть используемый как доверенный корневой сертификат?
Я хочу иметь другие сертификаты, которые используются другими службами (например, SQL Server Использовать шифрование данных сертификат), то есть автоматически доверяет всем машинам в домене.
- Есть ли способ подписать сертификат с корневым сертификатом AD?
- Можно ли иметь контроллер AD генерировать доверенные сертификаты?
Сертификационные услуги
Я знаю, что у Microsoft есть продукт под названием Службы сертификации Active Directory.
- я верить эта служба создает собственный корневой сертификат (независимо от корневого сертификата домена Active Directory), который,
- я верить что этот корневой сертификат не подписан корневым сертификатом домена
- и я верить что вам нужно самостоятельно отправить этот сертификат на машины в домене (например, с помощью сценария входа, групповой политики или вручную).
Очевидно, я не об этом спрашиваю. Я спрашиваю об использовании доверенного корневого сертификата домена для подписи других сертификатов, чтобы они были доверенными автоматически.
он создает собственный корневой сертификат
нет, контроллеры домена не генерируют корневые сертификаты.
и этот корневой сертификат автоматически загружается в машины, когда они присоединяются к домену.
нет, контроллеры домена не отправляют сертификаты на компьютеры домена.
Центр сертификации (ЦС) делает это. Основываясь на вашем описании и предоставленном изображении, я могу сказать, что у вас уже есть экземпляр ADCS или он был в прошлом. Вероятно, он был выведен из эксплуатации, но не был должным образом очищен из Active Directory.
и я считаю, что вам нужно самостоятельно отправить этот сертификат на машины в домене (например, с помощью сценария входа, групповой политики или вручную).
опять же нет. При установке корневого центра сертификации в Active Directory он автоматически передает свой корневой сертификат в Active Directory, и этот сертификат автоматически распространяется среди членов домена. Никаких сценариев входа в систему, никакого GPO, это делается через Active Directory.
Возникает вопрос: можно ли использовать этот доверенный корневой сертификат в качестве доверенного корневого сертификата?
технически да, если сервер CA все еще жив. Если он мертв, вам нужно очистить AD с удаленного сервера CA, удалив объекты из AD: Как списать центр сертификации Windows Enterprise и как удалить все связанные объекты. Вам нужно выполнить только шаги 6 и 7.
Как проверить, жив ли CA или нет? Вы можете попробовать бежать pkiview.msc console (требуется ADCS RSAT) и проверьте, может ли консоль связаться с сервером CA. В качестве альтернативы вы можете запустить certsrv.msc консоль и использовать Retarget Certification Authority для переключения на зарегистрированный сервер CA. Если оба варианта не работают, то, скорее всего, CA не работает, и вы пройдете процесс списания CA.
What you really need is to have a certification authority. You will need to set up an instance of ADCS server on dedicated machine (never install ADCS on domain controllers) and use it to issue certificates to domain members for required purposes. Though, I would go with proper planning first in order to have a reliable and scalable enterprise PKI solution (which is beyond the current thread's scope).
Если это сертификат вашего контроллера домена, созданный при создании домена AD, не используйте его ни для чего другого. Просто установите ADCS, создайте доверенный корневой сертификат, который вы отправите через GPO, а затем используйте его для подписи сертификатов.