Chr*_*ski 5 active-directory kerberos ad-certificate-services
许多工作站都有一个使用工作站身份验证 CA 模板颁发的即将到期的计算机证书。此模板的 CA 将在 2 天后到期。
我已经部署了一个新的 CA,延长了日期,并在本周末成功注册了许多机器。
我现在担心工作站断电,或者没有从企业 CA 获得新的计算机证书。
问:
由于我使用的是 Windows 2012 R2,下级 NTLM 可能会被用作 Kerberos 的替代品,这不是问题......尽管我不确定这是否在所有情况下都可以接受:(例如 DCOM 注册证书)
• 工作站证书的用途是什么?Kerberos?
否。Kerberos 不使用 SSL/TLS 证书。**
管理员可能会选择将给定的证书模板用于任意数量的不同事物,因此我认为我们现在不可能知道这些证书在您的环境中究竟用于什么用途。
不过,工作站身份验证模板与计算机证书模板非常相似。这两个证书模板都提供计算机身份验证。因此,证书可用于建立机器到机器的 SSL/TLS 连接。
例如,工作站身份验证证书可能如何使用的一个示例是使用 SCCM 进行客户端身份验证,以便 SCCM 知道它正在与正确的客户端交谈。
• 用户/机器能否在周一早上登录(过期后)?
最有可能的。在典型配置下,Active Directory 不需要证书即可登录到域。但是您的环境中可能有一些辅助服务中断了……无论以前使用过这些证书,我们都不知道。
• 一旦证书过期,机器是否有可能获得新证书?
通过组合使用组策略和允许计算机自动注册的证书模板权限,您可以在 Active Directory 中配置证书自动注册策略。您几乎不需要或不希望在 Active Directory 环境中手动注册证书。
由于我使用的是 Windows 2012 R2,下级 NTLM 可能会被用作 Kerberos 的替代品,这不是问题......尽管我不确定这是否在所有情况下都可以接受:(例如 DCOM 注册证书)
客户端从企业 CA 注册证书的能力不会受到该客户端是否拥有有效证书的影响。这是一个与我从您的帖子中了解到的不同的证书模板,因此旧证书模板已过期这一事实不会影响计算机是否可以自动重新注册。如果是新模板,则需要配置组策略以允许自动注册该新模板。
** - 不是为了本次讨论的目的。
| 归档时间: |
|
| 查看次数: |
4795 次 |
| 最近记录: |