Для чего используется шаблон CA для проверки подлинности рабочей станции в Windows PKI? Что произойдет, если он истекает?
Многие рабочие станции имеют сертификат с истекающим сроком действия, выданный с использованием шаблона CA для проверки подлинности рабочей станции. CA этого шаблона истекает через 2 дня.
Я развернул новый ЦС с расширенной датой и успешно зарегистрировал много машин в эти выходные.
Теперь я обеспокоен тем, что рабочие станции отключены или не получили новый сертификат компьютера от Enterprise CA.
Q:
- Для чего используются сертификаты рабочих станций? Kerberos?
- Смогут ли пользователи / машины войти в систему в понедельник утром (дата окончания срока действия)?
- После истечения срока действия сертификатов, смогут ли машины получить новые сертификаты?
Поскольку я использую Windows 2012 R2, возможно, что NTLM нижнего уровня будет использоваться в качестве альтернативы Kerberos, и это не проблема... хотя я не уверен, что это приемлемо во всех случаях: (например, регистрация DCOM сертификатов)
3 ответа
• Для чего используются сертификаты рабочих станций? Kerberos?
Нет. Kerberos не использует сертификаты SSL/TLS.**
Администратор может использовать данный шаблон сертификата для любого количества разных вещей, поэтому я бы сказал, что сейчас мы не можем знать, для чего именно эти сертификаты используются в вашей среде.
Однако шаблон проверки подлинности рабочей станции очень похож на шаблон сертификата компьютера. Оба этих сертификата предлагают компьютерную аутентификацию. Таким образом, сертификаты могут использоваться для установления межсетевых соединений SSL/TLS.
Например, один пример того, как могли использоваться сертификаты проверки подлинности рабочей станции, - это проверка подлинности клиента с помощью SCCM, чтобы SCCM знал, что он обращается к нужному клиенту.
• Смогут ли пользователи / машины войти в систему в понедельник утром (дата окончания срока действия)?
Более вероятный. Active Directory не требует сертификатов для входа в домен в типичной конфигурации. Но у вас может быть какая-то вспомогательная служба в вашей среде, которая ломается... независимо от того, что раньше использовало эти сертификаты, мы не знаем.
• После истечения срока действия сертификатов, смогут ли машины получить новые сертификаты?
Вы настраиваете политики автоматической регистрации сертификатов в Active Directory с помощью комбинации групповой политики и разрешений на шаблон сертификата, которые позволяют машинам автоматически регистрироваться. Вы почти никогда не должны или хотите вручную регистрироваться в сертификатах в среде Active Directory.
Поскольку я использую Windows 2012 R2, возможно, что NTLM нижнего уровня будет использоваться в качестве альтернативы Kerberos, и это не проблема... хотя я не уверен, что это приемлемо во всех случаях: (например, регистрация DCOM сертификатов)
Способность клиента зарегистрироваться в сертификате от корпоративного ЦС не будет зависеть от того, имеет ли этот клиент действительный сертификат или нет. Это шаблон сертификата, отличный от того, что я могу сказать из вашего поста, поэтому тот факт, что старый шаблон сертификата истек, не влияет на то, может ли компьютер автоматически повторно зарегистрироваться в нем или нет. Если это новый шаблон, необходимо настроить групповую политику, чтобы разрешить автоматическую регистрацию этого нового шаблона.
** - Не для целей этого обсуждения.
Для чего используются сертификаты рабочих станций? Kerberos?
они могут использоваться для аутентификации клиента во время согласования безопасного канала (например, в IPsec или в L2TP VPN). Они не используются для начальной аутентификации клиента, когда машина запускается.
Смогут ли пользователи / машины войти в систему в понедельник утром (дата окончания срока действия)?
Да, почему бы и нет?
После истечения срока действия сертификатов, смогут ли машины получить новые сертификаты?
вручную - да, автоматически - нет. Даже если вы используете автоматическую регистрацию, они должны быть обновлены до истечения срока их действия, в противном случае автоматическая регистрация не сможет подписать запрос на обновление.
Подводя итог: клиентские сертификаты не используются, пока какое-либо приложение не настроено на выполнение проверки подлинности на основе сертификатов для компьютеров (не пользователей).
Ответ от MSFT: дело 114120112106756
Любое приложение, которое ищет аутентификацию клиента, потребует сертификат аутентификации клиента (сертификат, выданный компьютеру через компьютер или шаблон рабочей станции).
Это конфигурация приложения, проверять сертификат клиента или нет. Например, SCCM может быть настроен для проверки подлинности клиента с помощью клиентских сертификатов. То же, что веб-приложение IIS или LDAP через SSL.
Сертификат необходим только для связи SSL/TLS, которую клиент инициирует с помощью приложения, и наоборот. Kerberos работает на другом уровне приложений, поэтому не требует сертификатов.
Мы выбираем сертификаты в случае EAP(расширенный протокол аутентификации). Теперь, так как приложение (если настроено) ищет сертификат клиента для успешной связи TLS/SSL, вы должны убедиться, что сертификат присутствует у клиента, который подтверждает, что клиенты являются законными и который выдается доверенным центром сертификации.