Windows AD प्रमाणपत्र सेवाओं के साथ रूट प्रमाणपत्र का वितरण

विंडोज सर्वर एक प्रमाणपत्र प्राधिकरण सेवा प्रदान करता है। हालाँकि, यह इसके प्रलेखन से स्पष्ट नहीं है कि कैसे (या यदि) रूट प्रमाणपत्र ग्राहकों को वितरित किया जाता है।

• क्या डोमेन सदस्य कंप्यूटर स्वचालित रूप से रूट प्रमाणपत्र पर भरोसा करते हैं?
  • यदि हां, तो उन्हें प्रमाण पत्र कैसे और कब मिलता है?
• क्या रूट प्रमाणपत्र स्थापित करने या विश्वसनीय होने के लिए कोई उपयोगकर्ता सहभागिता आवश्यक है?
• क्या ग्राहक सक्रिय निर्देशिका का सर्वेक्षण करता है? क्या यह AD DNS में है?
• क्या यह केवल लॉगिन के दौरान मिलेगा?
• क्या होगा यदि एक डोमेन सदस्य दूर से वीपीएन को लैन में रखता है?
• क्या विंडोज क्लाइंट के विभिन्न संस्करणों के लिए कोई चेतावनी है?

वितरण के लिए उपयोग की जाने वाली विधि CA के प्रकार पर निर्भर करती है जो आप सेटअप (स्टैंडअलोन / उद्यम) करते हैं।

एक स्टैंडअलोन या गैर-Microsoft CA के लिए आप आम तौर पर एक समूह नीति के साथ इसे वितरित करते हैं।

देख:

• संबंधित प्रश्न: एसएफ: मैं आंतरिक प्रमाणपत्र प्राधिकारी कैसे तैनात कर सकता हूं?
• TechNet: प्रमाणपत्रों को वितरित करने के लिए नीति का उपयोग करें

जब आप किसी डोमेन में एंटरप्राइज़ प्रमाणपत्र प्राधिकरण स्थापित करते हैं, तो यह स्वचालित रूप से होता है।

TechNet से: एंटरप्राइज़ प्रमाणन प्राधिकरण ( यहां संग्रहीत )

जब आप एंटरप्राइज़ रूट CA स्थापित करते हैं, तो वह डोमेन पॉलिसी का उपयोग डोमेन में सभी उपयोगकर्ताओं और कंप्यूटरों के लिए विश्वसनीय रूट प्रमाणीकरण प्राधिकारी प्रमाणपत्र स्टोर में अपने प्रमाण पत्र को प्रचारित करने के लिए करता है।

यह मेरा अनुभव है कि एक बार जब आप CA और प्रमाणपत्र को ADDS में संग्रहीत कर लेते हैं, तो एक कंप्यूटर इसे अगले बूट पर ले जाएगा और कंप्यूटर विश्वसनीय रूट स्टोर में स्टोर कर देगा। मैं आमतौर पर सभी विज्ञापन डोमेन में CA का प्रबंधन करता हूं क्योंकि यह आपके सभी प्रमाणपत्रों के लिए CA का उपयोग करने के लिए विकल्प खोलता है जो कि डोमेन कंप्यूटर के लिए किसी भी अतिरिक्त कार्य के साथ है। इसमें Windows Server 2008 R2 SSTP VPN या L2TP IPSec शामिल है जो प्रमाण पत्र का उपयोग करता है। पारंपरिक PPTP प्रमाणपत्रों का उपयोग नहीं करता है।

थोड़ा असंबंधित, लेकिन अगर आप लॉगिन के दौरान वीपीएन के लिए लोगों को चाहते हैं, तो आपको वीपीएन कॉन्फ़िगरेशन को पुश करने के लिए जीपीओ का उपयोग करना चाहिए या जब आप मैन्युअल रूप से वीपीएन को कंप्यूटर पर बनाते हैं तो वीपीएन कॉन्फिगर करने वाले बॉक्स को "सभी उपयोगकर्ताओं के लिए उपलब्ध करें" चेक करें। सार्वजनिक प्रोफ़ाइल बल्कि विशिष्ट उपयोगकर्ता प्रोफ़ाइल। एक बार ऐसा करने के बाद, लॉगिन से पहले, स्विच यूजर बटन (विस्टा / 7) पर क्लिक करें और आपको शटडाउन बटन के ठीक नीचे एक नया वीपीएन आइकन दिखाई देगा। यह "पहले नेटवर्क पर न होकर एक नए उपयोगकर्ता के लॉगिंग की समस्या को हल करता है"।

अंत में, जब आप रूट सीए बनाते हैं, तो सुनिश्चित करें कि यह विंडोज एंटरप्राइज चला रहा है या सर्टिफिकेट सर्विस को अपंग (स्टैंडर्ड एड में) किया जाएगा और मैं भविष्य में कुछ काम करने के लिए आपको 10 साल की समाप्ति को कम नहीं करूंगा।

एक मानक अभ्यास समूह नीति ऑब्जेक्ट्स (GPO) के माध्यम से, अपने स्वयं के डोमेन सहित किसी भी विश्वसनीय रूट प्रमाणपत्र को वितरित करना है। यह डोमेन कंप्यूटर और डोमेन कंट्रोलर भवन सुरक्षा समूहों के खिलाफ उचित लिंकिंग और सुरक्षा फ़िल्टरिंग के साथ एक नया GPO बनाकर किया जा सकता है । यह सुनिश्चित करता है कि डोमेन विंडोज कंप्यूटर ऑब्जेक्ट में शामिल हो गया है जो विश्वसनीय रूट प्रमाणपत्रों का एक मानकीकृत सेट है।

GPO में ही Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authoritiesसही स्टोर को डिजाइन और डिजाइन किया जा सकता है । ग्राहक तब पुनः आरंभ करने और / या अपने अगले GPO प्रसंस्करण अंतराल के दौरान पॉलिसी प्राप्त करेंगे, जिसे gpupdate /forceकमांड का उपयोग करके मजबूर किया जा सकता है ।