Назад | Перейти на главную страницу

Как мне перевыпустить сертификаты компьютеров для моих членов Active Directory теперь, когда у меня есть частный центр сертификации?

Итак, у меня есть рабочий Active Directory. Недавно я добавил новую машину, которая будет действовать как центр сертификации Active Directory.

Я добавил групповую политику (уровень компьютера) для автоматической регистрации сертификатов в соответствии с этот документ. И подтвердил, что мой ЦС присутствует во всех доверенных корневых сертификатах членов моего домена.

Я экспортировал корневой сертификат ЦС и добавил его в список доверенных корневых ЦС моей рабочей станции (компьютера).

Когда я хочу подключить удаленный рабочий стол к своим удаленным серверам, он все равно выдает предупреждение, подобное этому:

Когда я просматриваю сертификат, становится ясно, что отправляемый сертификат является самозаверяющим сертификатом компьютера по умолчанию. Как заставить Windows повторно выдавать сертификаты машины на основе моего нового доверенного корневого ЦС? Я предполагаю, что мне нужно создать политику автоматического утверждения для сертификатов машины где-нибудь с некоторыми ограничениями, возможно, на то, кто / как может делать такие запросы. И тогда я бы предположил, что мне нужно протолкнуть политику домена, которая каким-то образом инструктирует всех моих членов домена получить сертификат своей машины.

Кому-нибудь это знакомо? Я думаю, что причина, по которой я не могу найти документ по этому поводу, заключается в том, что я не знаю правильной терминологии.

Вам необходимо подать заявку на получение сертификата машины на рабочей станции. Вы можете настроить автоматическую регистрацию с помощью групповой политики или перейти на сайт регистрации сертификатов в своем ЦС (https: // yourCA / certenroll и зарегистрируйтесь вручную.
Автоматическая регистрация устанавливается в разделе «Конфигурация компьютера» -> «Политики» -> «Настройки Windows» -> «Настройки безопасности» -> «Политики открытого ключа».

РЕДАКТИРОВАТЬ После получения сертификата, который можно использовать для «аутентификации клиента», вам необходимо настроить RDP для использования сертификата. Следовать инструкциям Вот для сценария WMI, чтобы сделать это.

Эта документация Microsoft может помочь вам: http://support.microsoft.com/kb/281271

«В следующих сценариях, если пользователь из того же домена, что и центр сертификации (ЦС), запрашивает сертификат, выпущенный сертификат публикуется в Active Directory. Однако, если пользователь из дочернего домена, этот процесс не выполняется. Кроме того, когда пользователи из того же домена, что и ЦС, запрашивают сертификат, выпущенный сертификат не может быть опубликован в Active Directory ».

Проверьте эту подробную статью от Microsoft: http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx?PageIndex=2

С уважением.
Фарук.