Будут ли клиенты DirectAccess обновлять сертификаты рабочих станций вне офиса?
Я установил MS DirectAccess почти год назад, что потребовало настройки автоматической регистрации сертификатов на компьютере. Срок действия первого компьютерного сертификата истекает примерно через месяц, и теперь мне интересно, как это будет работать на машинах, которые никогда не подключаются к домену локально.
Политика автоматической регистрации включает в себя автоматическое продление. Итак, мой вопрос, когда происходит обновление? Если срок действия сертификата истекает, то мне кажется, что соединение DA перестанет работать, и обновление не сможет состояться.
Я прошу прощения, мои знания сертификатов в Windows (или где-либо еще) крайне ограничены. Спасибо
3 ответа
Машины DA по определению подключены к домену. Они получают свои объекты групповой политики и все остальное точно так, как если бы они были на месте.
Если у вас есть автоматическое обновление с процентным периодом, достаточным для того, чтобы люди не были заблокированы (дольше, чем выходные или запланированное время простоя компании), вы должны быть в порядке. Вот скриншот соответствующей настройки объекта групповой политики.
http://1.bp.blogspot.com/-IpzPPsHHQ14/UfLwHEeJE_I/AAAAAAAAASg/qUYAP3GRxtA/s1600/Auto+Enrollment.png
/ Правка - Ага. PKI, на который я смотрел, не показывал это, но я нашел это онлайн. Вот часть шаблона сертификата, которая также должна быть установлена: Период продления на вкладке Общие. Вполне вероятно, что вышеуказанная настройка объекта групповой политики не имеет значения для целей автоматической регистрации и обновления.
Если ваши текущие сертификаты построены из шаблона без требуемого значения для этого параметра, вам необходимо отредактировать или создать новый шаблон и переиздать сертификаты, но значения по умолчанию для сертификатов DA должны быть достаточно разумными.
1) продление сертификата будет инициировано в период времени, указанный в шаблоне сертификата, до истечения срока действия сертификата. В случае неудачи клиент автоматической регистрации будет периодически пытаться обновить сертификат.
в данном примере автоматическая регистрация будет делать первую попытку обновить сертификат за 6 недель до истечения срока действия сертификата.
2) Чтобы обновить сертификат, клиент должен иметь возможность подключать контроллеры домена и сервер (ы) CA через RPC / DCOM.
3) убедитесь, что клиенты имеют разрешения "Чтение", "Регистрация" и "Авторегистрация" для шаблона сертификата Target.
Итак, у вас правильные настройки. Но по какой причине ваш клиент проверяет, что срок действия сертификата истекает (менее 6 недель с момента истечения срока действия, как показано выше)? Это запланированное задание, которое запускается после входа в систему и каждые восемь часов после этого. Смотрите планировщик задач, Microsoft\Windows\CertificateServicesClient\UserTask, Под действием вы увидите Custom Handler, из которого вы не можете получить гораздо больше деталей. Что делает, это работает dimsjob.dll как видно из вывода schtasks /query /XML /TN "\Microsoft\Windows\CertificateServicesClient\UserTask"