В Windows PKI, для чего является Аутентификация Рабочей станции Шаблоном CA, используемым? Что происходит, если это истекает?
Много рабочих станций имеют истекающий компьютерный сертификат, который был выпущен с помощью шаблона Workstation Authentication CA. CA этого шаблона истекает за 2 дня.
Я развернул новый CA, с расширенной датой, и успешно зарегистрировал много машин в эти выходные.
Я теперь обеспокоен рабочими станциями, которые выключаются или иначе не получили новый компьютерный сертификат от Предприятия Приблизительно.
Q:
- Для чего используются Сертификаты Рабочей станции? Kerberos?
- Пользователи/машины смогут войти в систему в понедельник утром (отправьте дату истечения срока)?
- После того как сертификаты истекают, для машин будет возможно получить новые сертификаты?
Так как я использую Windows 2012 R2, возможно, что низкий уровень, NTLM использовался бы в качестве альтернативы Kerberos и это не проблема..., хотя я не уверен, приемлемо ли это во всех случаях: (например, прием DCOM сертификатов)
• Untuk apa Sijil Stesen Kerja digunakan? Kerberos?
Tidak. Kerberos tidak menggunakan sijil SSL / TLS. **
Pentadbir boleh memilih untuk menggunakan templat sijil yang diberikan untuk sebilangan perkara yang berbeza, jadi saya katakan mustahil untuk kita tahu sekarang apa sebenarnya sijil tersebut digunakan di persekitaran anda.
Templat Pengesahan Workstation sangat mirip dengan templat sijil Komputer. Kedua-dua templat ini menawarkan pengesahan komputer. Oleh itu, sijil dapat digunakan untuk membuat sambungan SSL / TLS mesin ke mesin.
Sebagai contoh, salah satu contoh bagaimana sijil Pengesahan Workstation telah digunakan adalah untuk pengesahan pelanggan dengan SCCM, jadi bahawa SCCM tahu bahawa ia bercakap dengan pelanggan yang tepat.
• Adakah pengguna / mesin dapat log masuk Isnin pagi (tarikh tamat tempoh)?
Kemungkinan besar. Direktori Aktif tidak memerlukan sijil untuk log masuk ke domain di bawah konfigurasi biasa. Tetapi anda mungkin mempunyai beberapa perkhidmatan sampingan di persekitaran anda yang rosak ... apa sahaja yang menggunakan sijil tersebut sebelumnya, kami tidak tahu.
• Setelah sijil tamat tempoh, adakah mesin-mesin tersebut akan mendapat sijil baru?
Anda mengkonfigurasi kebijakan pendaftaran otomatis sijil di Direktori Aktif dengan menggunakan kombinasi Dasar Kumpulan, dan izin pada templat sijil yang membolehkan mesin mendaftar secara automatik. Anda hampir tidak perlu atau mahu mendaftar secara manual dalam sijil dalam persekitaran Direktori Aktif.
Oleh kerana saya menggunakan Windows 2012 R2, ada kemungkinan NTLM kelas bawah akan digunakan sebagai alternatif kepada Kerberos dan ini bukan masalah ... walaupun saya tidak pasti apakah ini dapat diterima dalam semua kes: (mis. pendaftaran sijil DCOM)
Keupayaan pelanggan untuk mendaftar dalam perakuan dari syarikat CA tidak akan dipengaruhi oleh sama ada pelanggan itu mempunyai sijil yang sah atau tidak. Ini templat sijil yang berbeza dari yang saya dapati dari catatan anda, jadi fakta bahawa templat sijil lama sudah tidak akan berlaku sama ada komputer dapat mendaftar semula secara automatik di dalamnya atau tidak. Sekiranya templat baru, anda perlu mengkonfigurasi Dasar Kumpulan untuk membolehkan pendaftaran automatik templat baru itu.
** - Bukan untuk tujuan perbincangan ini.
Untuk apa Sijil Stesen Kerja digunakan? Kerberos?
mereka boleh digunakan untuk pengesahan klien semasa rundingan saluran selamat (misalnya, di IPsec atau di L2TP VPN). Mereka tidak digunakan untuk pengesahan pelanggan awal, semasa mesin dimulakan.
Adakah pengguna / mesin dapat log masuk Isnin pagi (tarikh tamat tempoh)?
ya, mengapa tidak?
Setelah sijil tamat, adakah mungkin mesin mendapat sijil baru?
secara manual - ya, secara automatik - tidak. Walaupun anda menggunakan pendaftaran otomatis, mereka mesti diperbaharui sebelum tamat tempoh, jika tidak, pendaftaran automatik tidak akan dapat menandatangani permintaan pembaharuan.
dan untuk meringkaskan: sijil pelanggan tidak digunakan sehingga beberapa aplikasi dikonfigurasikan untuk melakukan pengesahan berdasarkan sijil untuk komputer (bukan pengguna).
Ответ от MSFT: Дело 114120112106756
Любое приложение, которое ищет аутентификацию клиента, потребует сертификат аутентификации клиента (сертификат, выданный компьютеру через шаблон компьютера или рабочей станции).
Это сертификат конфигурация приложения, проверять ли сертификат клиента или нет. Например, SCCM можно настроить для проверки подлинности клиента с помощью клиентских сертификатов. То же, что и веб-приложение IIS или LDAP через SSL.
Сертификат необходим только для связи SSL / TLS, которую клиент инициирует с приложением, и наоборот. Kerberos работает на другом уровне приложения, поэтому сертификаты не требуются.
Мы выбираем сертификаты в случае EAP (протокол расширенной аутентификации). Теперь, поскольку приложение (если настроено) ищет сертификат клиентов для успешной связи TLS / SSL, вы должны убедиться, что у клиента присутствует сертификат, который доказывает, что клиенты являются законными, и который выдается доверенным центром сертификации.