Windows Server предоставляет службу центра сертификации. Однако из его документации неясно, как (и если) корневой сертификат распространяется среди клиентов.
Метод, используемый для распространения, зависит от типа настраиваемого ЦС (автономный / корпоративный).
Для автономного центра сертификации или ЦС стороннего производителя вы обычно распространяете это с помощью групповой политики.
Видеть:
Когда вы устанавливаете центр сертификации Enterprise в домене, это происходит автоматически.
Из TechNet: Центры сертификации предприятий (Архивировано Вот.)
При установке корневого центра сертификации предприятия он использует групповую политику для распространения своего сертификата в хранилище сертификатов доверенных корневых центров сертификации для всех пользователей и компьютеров в домене.
По моему опыту, после того, как вы настроите ЦС и сертификат будет сохранен в ADDS, компьютер захватит его при следующей загрузке и сохранит в доверенном корневом хранилище компьютера. Обычно я размещаю центры сертификации во всех доменах AD, которыми я управляю, поскольку это открывает возможности для использования центра сертификации для всех ваших потребностей в сертификатах без какой-либо дополнительной работы для компьютеров-членов домена. Это включает в себя Windows Server 2008 R2 SSTP VPN или L2TP IPSec, который использует сертификаты. Традиционный PPTP не использует сертификаты.
Немного не связано, но если вы хотите, чтобы люди использовали VPN в в течение войдите в систему, вы должны использовать GPO для отправки конфигурации VPN или когда вы вручную создаете VPN на компьютере, установите флажок «сделать доступным для всех пользователей», который сохраняет конфигурацию VPN в общедоступном профиле, а не в профиле конкретного пользователя. Как только это будет сделано, перед входом в систему нажмите кнопку переключения пользователя (vista / 7), и вы увидите новый значок VPN внизу справа рядом с кнопкой выключения. Это решает проблему «нового пользователя, входящего в систему без предварительного подключения к сети».
Наконец, когда вы создаете корневой ЦС, убедитесь, что он работает под управлением Windows Enterprise, иначе служба сертификатов будет повреждена (в стандартном редакторе), и я бы не стал делать срок действия менее 10 лет, чтобы сэкономить вам часть работы в будущем.
Стандартной практикой является распространение любых доверенных корневых сертификатов, в том числе в пределах вашего собственного домена, через объекты групповой политики (GPO). Это можно сделать, создав новый объект групповой политики с правильной привязкой и фильтрацией безопасности для Компьютеры домена и Контроллеры домена BUILTIN группы безопасности. Это гарантирует, что объекты компьютера Windows, присоединенные к домену, будут иметь стандартизованный набор доверенных корневых сертификатов.
Сам объект групповой политики можно найти в Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities и определение правильного магазина. Затем клиенты получат политику при перезапуске и / или во время следующего интервала обработки GPO, который можно принудительно настроить с помощью gpupdate /force команда.