Имея самозаверяющие файлы CRT и KEY, могу ли я установить их в настройках интрасети Windows Active Directory для всех компьютеров?

459
Geesh_SO

Я пытаюсь настроить сервер чата Zulip в локальной сети Active Directory. Сервер чата требует SSL-сертификат, который позволяет генерировать файлы CRT и KEY из OpenSSL.

Однако с этими файлами я хотел бы установить их в настройке Active Directory, чтобы все пользователи и компьютеры, являющиеся частью Active Directory, автоматически брали их и не получали предупреждений о необходимости принять неизвестный сертификат.

Я пытался использовать Google, но либо мои навыки поиска невелики, либо я просто использую неправильные термины и, таким образом, получаю неправильный контент.

0

2 ответа на вопрос

2
grawity

Да, можно развернуть сертификаты ЦС с помощью групповой политики - под окна настройки → Параметры безопасности → Политики открытого ключа → Доверенные корневые центры сертификации .

Но так как у вас уже есть Active Directory, я настоятельно рекомендую установить компонент служб сертификатов и создать действительный центр сертификации, из которого вы будете выпускать отдельные сертификаты сервера, чтобы вы могли продолжать добавлять внутренние службы и по-прежнему использовать только один сертификат для все, а не десятки самозаверяющих.

1
garethTheRed

Вы не можете распространять сертификат И (закрытый) ключ с помощью групповой политики. Сама идея довольно бессмысленна, так как закрытый ключ по определению является личным и поэтому не должен использоваться совместно.

Однако вы можете распространять сертификаты по групповой политике. В зависимости от версии Windows вы можете отправлять сертификаты в корневое хранилище, промежуточное хранилище или другие.

Вам нужно создать центр сертификации (с OpenSSL, Microsoft Active Directory Certificate Services (ADCS) или другими инструментами) и использовать его для подписи запросов на подпись сертификатов от каждого клиента.

Как говорит @grawity, у вас есть Windows, поэтому вы можете использовать ADCS для этого. Вы даже можете настроить его так, чтобы все клиенты автоматически регистрировались для получения сертификата без какого-либо вмешательства пользователя.

Мое предложение:

  1. Установите автономный Root CA с помощью Microsoft ADCS;
  2. Установите онлайновый выдающий центр сертификации с помощью Microsoft ADCS;
  3. Настройте групповую политику для распространения сертификата корневого ЦС на все устройства;
  4. Настройте групповую политику, чтобы включить автоматическую регистрацию, чтобы все ваши устройства запрашивали свои собственные сертификаты у выдающего ЦС;

Помните, что плохая безопасность хуже, чем отсутствие безопасности вообще. Проведите исследование, прежде чем углубиться в PKI.

Я предполагаю, что пара сертификат / ключ предназначена только для Zulip в качестве HTTPS-сервера, а не для каждого клиента в отдельности. Однако возможно ли иметь несколько ЦС на одном сервере ADCS? grawity 5 лет назад 0
@ grawity - хорошая мысль. Может быть, ОП просто хотел распространить сертификат сервера, а не сертификат и ключи для взаимной аутентификации, как я изначально прочитал вопрос. Для моего предложения потребуется два сервера - один в автономном режиме, а другой в сети. Учитывая, что OP просто хочет избавиться от предупреждения сертификата больше, чем обеспечить безопасность, это, вероятно, излишне. garethTheRed 5 лет назад 0