Многие рабочие станции имеют устаревший сертификат компьютера, который был выдан с использованием шаблона CA для проверки подлинности рабочей станции. CA этого шаблона истекает через 2 дня.
Я развернул новый центр сертификации с продленным сроком и успешно зарегистрировал много машин в эти выходные.
Теперь меня беспокоят рабочие станции, которые отключены или по какой-либо другой причине не получили новый сертификат компьютера от ЦС предприятия.
Вопрос:
Поскольку я использую Windows 2012 R2, возможно, что NTLM нижнего уровня будет использоваться в качестве альтернативы Kerberos, и это не проблема ... хотя я не уверен, приемлемо ли это во всех случаях: (например, регистрация DCOM сертификатов)
• Для чего используются сертификаты рабочих станций? Керберос?
Нет. Kerberos не использует сертификаты SSL / TLS. **
Администратор может выбрать использование данного шаблона сертификата для любого количества различных вещей, поэтому я бы сказал, что нам невозможно знать прямо сейчас, для чего именно эти сертификаты использовались в вашей среде.
Однако шаблон аутентификации рабочей станции очень похож на шаблон сертификата компьютера. Оба этих шаблона сертификатов предлагают компьютерную аутентификацию. Таким образом, сертификаты могут использоваться для установления межмашинных соединений SSL / TLS.
Например, один пример того, как сертификаты аутентификации рабочей станции мощь были использованы для аутентификации клиента с помощью SCCM, чтобы SCCM знал, что обращается к нужному клиенту.
• Смогут ли пользователи / машины войти в систему в понедельник утром (после истечения срока действия)?
Наверняка. Active Directory не требует сертификатов для входа в домен в типичной конфигурации. Но у вас может быть какая-то вспомогательная служба в вашей среде, которая ломается ... что бы ни использовало эти сертификаты раньше, мы не знаем.
• После истечения срока действия сертификатов смогут ли машины получить новые сертификаты?
Вы настраиваете политики автоматической регистрации сертификатов в Active Directory, используя комбинацию групповой политики и разрешений в шаблоне сертификата, которые позволяют машинам автоматически регистрироваться. Вам почти никогда не придется вручную регистрировать сертификаты в среде Active Directory.
Поскольку я использую Windows 2012 R2, возможно, что NTLM нижнего уровня будет использоваться в качестве альтернативы Kerberos, и это не проблема ... хотя я не уверен, приемлемо ли это во всех случаях: (например, регистрация DCOM сертификатов)
Возможность клиента подать заявку на сертификат из корпоративного ЦС не зависит от того, имеет этот клиент действующий сертификат или нет. Этот шаблон сертификата отличается от того, что я могу сказать из вашего сообщения, поэтому тот факт, что срок действия старого шаблона сертификата истек, не влияет на то, сможет ли компьютер автоматически повторно зарегистрироваться в нем или нет. Если это новый шаблон, вам необходимо настроить групповую политику, чтобы разрешить автоматическую регистрацию этого нового шаблона.
** - Не для целей данного обсуждения.
Для чего используются сертификаты рабочих станций? Керберос?
их можно использовать для аутентификации клиента во время согласования безопасного канала (например, в IPsec или в L2TP VPN). Они не используются для первоначальной аутентификации клиента при запуске машины.
Смогут ли пользователи / машины войти в систему в понедельник утром (после истечения срока действия)?
Да, почему бы и нет?
Когда срок действия сертификатов истечет, смогут ли машины получить новые сертификаты?
вручную - да, автоматически - нет. Даже если вы используете автоматическую регистрацию, они должны быть продлены до истечения срока их действия, в противном случае автоматическая регистрация не сможет подписать запрос на продление.
и подведем итог: клиентские сертификаты не используются, пока какое-то приложение не настроено для выполнения проверки подлинности на основе сертификатов для компьютеров (не пользователей).
Ответ от MSFT: Дело 114120112106756
Любое приложение, которое ищет аутентификацию клиента, потребует сертификат аутентификации клиента (сертификат, выданный компьютеру через шаблон компьютера или рабочей станции).
Проверять сертификат клиента или нет - это конфигурация приложения. Например, SCCM можно настроить для проверки подлинности клиента с помощью клиентских сертификатов. То же, что и веб-приложение IIS или LDAP через SSL.
Сертификат необходим только для связи SSL / TLS, которую клиент инициирует с приложением, и наоборот. Kerberos работает на другом уровне приложения, поэтому сертификаты не требуются.
Мы выбираем сертификаты в случае EAP (протокол расширенной аутентификации). Теперь, поскольку приложение (если настроено) ищет сертификат клиентов для успешной связи TLS / SSL, вы должны убедиться, что у клиента присутствует сертификат, который доказывает, что клиенты являются законными, и который выдается доверенным центром сертификации.