Главная » Linux

Windows server сертификат подлинности

Содержание
  1. Windows Server 2008 R2: Сертификаты определяют безопасность подключений к удаленным рабочим столам. Часть 2
  2. Проверка подлинности на уровне сети
  3. Проверка подлинности сервера
  4. Подписывание личных ВМ и ВМ в пулах
  5. Подписывание приложений RemoteApps
  6. Защита сайта веб-доступа к удаленным рабочим столам
  7. Вопросы и ответы по использованию сертификатов в службах удаленных рабочих столов
  8. Обзор развертывания сертификата сервера Server Certificate Deployment Overview
  9. Компоненты развертывания сертификата сервера Server certificate deployment components
  10. CA1, выполняющий роль сервера AD CS CA1 running the AD CS server role
  11. Файл CAPolicy. INF CAPolicy.inf
  12. Копия шаблона сертификата серверов RAS и IAS Copy of the RAS and IAS servers certificate template
  13. Дополнительная конфигурация CA1 Additional CA1 configuration
  14. WEB1, выполняющий роль сервера веб-служб (IIS) WEB1 running the Web Services (IIS) server role
  15. Виртуальный каталог для списков отзыва сертификатов и AIA Virtual directory for the CRL and AIA
  16. DC1 с ролью AD DS и DNS-сервера DC1 running the AD DS and DNS server roles
  17. групповая политика политики домена по умолчанию Group Policy default domain policy
  18. Запись ресурса псевдонима DNS (CNAME) DNS alias (CNAME) resource record
  19. NPS1, выполняющий службу роли сервера политики сети для роли сервера «политика сети и службы доступа» NPS1 running the Network Policy Server role service of the Network Policy and Access Services server role
  20. групповая политика применены и сертификат зарегистрирован на серверах Group Policy applied and certificate enrolled to servers
  21. Обзор процесса развертывания сертификата сервера Server certificate deployment process overview

Windows Server 2008 R2: Сертификаты определяют безопасность подключений к удаленным рабочим столам. Часть 2

Посетителей: 10556 | Просмотров: 15756 (сегодня 0) Шрифт:

Сертификаты играют важную роль в развертывании служб удаленных рабочих столов. Они позволяют защитить связь между клиентом и сервером. Они подтверждают подлинность сервера или веб-сайта, к которому вы подключаетесь. Они также служат для создания подписи файлов протокола RDP, которая удостоверяет, что эти файлы происходят из доверенного источника.

Сертификаты нужно использовать во всех службах роли RDS. Вот, что нужно знать для установки сертификатов для каждой серверной роли с помощью локальных инструментов или групповой политики. Сначала нужно сконфигурировать параметры безопасности всех серверов узлов сеансов удаленных рабочих столов на вкладке General окна свойств средства прослушивания протокола в средстве конфигурирования удаленных рабочих столов. Для этого надо выбрать Administrative Tools/Remote Desktop Services/Remote Desktop Session Host Configuration. После этого надо дважды щелкнуть RDP-Tcp в разделе Connections в средней панели. Здесь добавляется серверный сертификат SSL.

Эти параметры можно конфигурировать индивидуально для отдельных серверов. Эти параметры можно также средствам групповых политик, применяя следующий набор параметров объекта групповой политики (GPO) к подразделению сервера узлов сеансов удаленных рабочих столов в узле Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Security:

  • Установить уровень шифрования для клиентских подключений
  • Требовать использования специального уровня безопасности для удаленных подключений по методу RDP
  • Шаблон сертификата проверки подлинности сервера
  • Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети

Проверка подлинности на уровне сети

По умолчанию проверка подлинности на уровне сети (NLA) необязательна. Чтобы она требовалась при подключении к серверу узлов сеансов удаленных рабочих столов, нужно установить соответствующий флажок. Это не позволит подключиться к серверу клиентам, не поддерживающим NLA (а именно клиентам с RDC версии более ранней, чем 6.x, и под управлением ОС, не поддерживающей CredSSP). CredSSPOnly поддерживают только клиенты под управлением Windows 7, Windows Vista и Windows XP SP3.

Проверка подлинности сервера

Параметры проверки подлинности сервера настраиваются в разделе Security Layer. По умолчанию выбран вариант Nego¬tiate, который означает, что для аутентификации сервера клиент и сервер используют протокол TLS, если он поддерживается.

Можно изменить этот параметр, чтобы проверка подлинности сервера выполнялась средствами TLS. Если проверка подлинности сервера не выполняется, определить поведение клиента можно на вкладке Advanced клиента удаленного рабочего стола:

  • Не подключаться, если проверка не прошла
  • Предупреждать, если проверка не прошла
  • Подключаться, даже если проверка не прошла

Щелкнув Select внизу страницы, можно выбрать сертификат, который сервер будет использовать для подтверждения своей подлинности. По щелчку Select предоставляется больше сведений о сертификате, в том числе его назначение, имя выпустившего этот сертификат центра сертификации, а также срок действия.

Сертификат должен содержать DNS-имя сервера узлов сеансов удаленных рабочих столов, например rdsh1.domain.local. Если развернута ферма серверов, сертификат должен содержать DNS-имя сервера узлов сеансов удаленных рабочих столов фермы, например farm.domain.local.

По умолчанию сервер узлов сеансов удаленных рабочих столов настраивается на использование самоподписанного сертификата. Этот сертификат нельзя использовать в производственной среде по трем причинам:

  • Аутентичность сертификата ничем не подтверждается.
  • Клиенты не доверяют сертификату, потому что он не подписан пользующейся доверием третьей стороной (такой как публичный центр сертификации или внутрикорпоративной инфраструктурой открытого ключа).
  • При развертывании фермы имя сертификата по умолчанию не соответствует имени фермы серверов сеансов удаленных рабочих столов, поэтому проверка подлинности работать не будет.

Подписывание личных ВМ и ВМ в пулах

Подписывание личные ВМ или ВМ в пулах можно, установив сертификат SSL на посреднике подключений к удаленным рабочим столам средствами Диспетчера подключений к удаленным рабочим столам (рис. 1).

Рис. 1. Диспетчер подключений к удаленным рабочим столам можно использовать для подписания отдельных виртуальных машин и машин в пулах

Подписывание приложений RemoteApps

RemoteApps подписывают с использованием сертификата, установленного на диспетчере RemoteApp на сервере узлов сеансов удаленных рабочих столов (рис. 2).

Рис. 2. Можно также подписывать приложения RemoteApps, для чего используеться сертификат в диспетчере удаленных приложений RemoteApp

При создании фермы серверов узлов сеансов удаленных рабочих столов не забудьте установить один и тот же сертификат на всех серверах узлов сеансов удаленных рабочих столов в ферме, а также в любых других устанавливаемы вами фермах. В этом случае единый вход для интернет-решений будет работать на всех членах ферм.

Для этого нужно экспортировать сертификат вместе с закрытым ключом с сервера. Импортируйте сертификат, используя MMC-оснастку Certificates (Сертификаты), добавив при этом учетную запись компьютера, а не пользователя.

Если при реализации единого входа для интернет-решений средствами веб-доступа к удаленным рабочим столам в качестве источника такого доступа используется посредник подключений к удаленным рабочим столам, на посреднике нужно установить тот же сертификат, что установлен на всех серверах узлов сеансов удаленных рабочих столов (тот же, что используется для подписания RemoteApps). Это может приводить в замешательство по двум причинам:

  1. Сеанс, в котором устанавливается сертификат на посреднике подключений к удаленным рабочим столам называется Virtual Desktops: Resources and Configuration (Виртуальные рабочие столы: ресурсы и настройка). Устанавливаемый сертификат не только используется для подписания ВМ инфраструктуры виртуальных рабочих столов, но также применяется в процессе единого входа для интернет-решений для подписания приложений RemoteApps, когда используется посредник подключений к удаленным рабочим столам. Сертификаты подписания в посреднике и диспетчере RemoteApp серверов узлов сеансов удаленных рабочих столов должны совпадать иначе единый вход для интернет-решений работать не будет.
  2. Если при запуске RemoteApp сертификат на посреднике отличается от сертификата на серверах узлов сеансов удаленных рабочих столов, единый вход для интернет-решений не работает. При этом никакой информации о различии сертификатов не предоставляется. В открывающемся окне показан только набор сертификатов в диспетчере RemoteApp, поэтому сложно узнать, что проблема в сертификатах.
Читайте также:  Запуск восстановления системы mac os

Подробнее о настройке единого входа для интернет-решений см. веб-страницу «Introducing Web Single Sign-On for RemoteApp and Desktop Connections» по адресу

Защита сайта веб-доступа к удаленным рабочим столам

Безопасность сайта веб-доступа обеспечивается стандартными средствами. Для этого нужно добавить на IIS-сервер сертификат с DNS-именем сайта веб-доступа к удаленным рабочим столам (рис. 3).

Рис. 3. Добавление сертификата с именем DNS позволяет защитить сайт веб-доступа к удаленным рабочим столам

Сертификаты, установленные в хранилище Personal компьютера и содержащие закрытый ключ, отображаются в списке в меню Edit.

Настройка сертификата на шлюзе удаленных рабочих столов

При установке шлюза удаленных рабочих столов нужен сертификат, который будет использоваться для шифрования связи между клиентом и сервером, особенно при связи через Интернет. Этот сертификат SSL должен содержать DNS-имя сервера шлюза удаленных рабочих столов, которое будут получать в результате разрешения имен внешние пользователи (это должно быть внешнее DNS-имя, например rdgateway.domain.com).

Установка сертификата шлюза удаленных рабочих столов выполняется на вкладке SSL Certificate свойств диспетчера шлюза удаленных рабочих столов (рис. 4). Подробнее о сертификатах шлюза удаленных рабочих столов см. в библиотеке TechNet статью.

Рис. 4. Установка сертификата шлюза удаленных рабочих столов

В службах удаленных рабочих столов можно установить сертификаты для защиты и проверки подлинности как клиентов, так и серверов. У каждой роли сервера собственные требования к сертификатам. Приведенные в этой статье сведения помогут вам понять, зачем нужны сертификаты при развертывании служб удаленных рабочих столов, а также как и где нужно разворачивать эти сертификаты.

Вопросы и ответы по использованию сертификатов в службах удаленных рабочих столов

Вопрос: Как устанавливать на сервер сертификаты, которые я мог бы использовать в службах удаленных рабочих столов (RDS)?

Ответ: Для служб RDS доступны сертификаты, расположенные в хранилище сертификатов Personal учетной записи компьютера. Добавление сертификатов в это хранилище выполняется в следующей последовательности:

  1. Откройте консоль MMC, выполнив команду mmc.
  2. Добавьте оснастку Certificates (File, Add/Remove Snap-ins).
  3. Последовательно выберите Choose Computer Account и Add, после чего щелкните OK.
  4. Перейдите к папке Personal, а затем к Certificates.
  5. Щелкните папку правой кнопкой и выберите Import, чтобы импортировать сертификат, полученный в центре сертификации.

В этом отношении с диспетчером шлюза удаленных рабочих столов проще, потому что у него в интерфейсе есть кнопка Import, поэтому вручную не нужно обращаться к консоли MMC.

Вопрос: Как отключить все сообщения-предупреждения, отображаемые при запуске подписанного RDP-файла?

Ответ: Включите параметр политики. Задайте SHA1-отпечатки сертификатов, представляющих доверенных издателей RDP-файлов. При включении этой политики задаются сертификаты, которые клиент будет считать доверенными. Если клиент доверяет сертификату, все RDP-файлы, подписанные этим сертификатом считаются доверенными. В этом случае никаких предупреждений с предложением подтвердить доверие издателю не отображается. Подробнее см. веб-страницу.

Вопрос: Я установить правильные сертификаты на свои серверы узлов сеансов удаленных рабочих столов, но подключиться все равно не удается.

Ответ: Существует немного известных проблем с сертификатами в применении с реализацией служб RDS:

  1. Похоже, что неполадки возможны при использовании сертификатов SGC (Server Gated Cryptography). Используйте другие сертификаты. Подробнее см. следующие статьи на форуме по RDS: http://social.technet.microsoft.com/Forums/ru-ru/w7itpronetworking/thread/b6545e0e-8a86-4b44-a118-0489fe76fdd1 и http://social.technet.microsoft.com/Forums/ru-ru/winserverTS/thread/12258c68-df6e-432f-932b-22f014e8d4c5.
  2. Если подключающиеся клиенты получают ошибку «The certificate is not valid for this usage.» (Данный сертификат не подходит для такого использования.), цепочка сертификата сервера узлов сеансов удаленных рабочих столов может быть слишком длинной. Подробнее см. статью.

Вопрос: Можно ли в службах RDS использовать групповой сертификат или сертификат SAN?

Ответ: Да, такое возможно. Сертификат SAN содержит несколько имен узлов, поэтому его можно использовать в нескольких местах, где требуется сертификат. Примером сертификата SAN может быть сертификат, содержащий DNS-имена вашего шлюза удаленных рабочих столов и сервера веб-доступа к удаленным рабочим столам, а также имя, используемое для подписания файлов RemoteApp:

  • rdgateway.domain.com
  • rdweb.domain.com
  • sign.domain.com

При использовании групповых сертификатов для реализации типичной фермы потребуется всего два сертификата. Ферма узла сеансов удаленных рабочих столов должна ссылаться на DNS-имя фермы, это обычно внутреннее DNS-имя (domain.local). Это не то же самое, что внешняя DNS-зона (domain.com), поэтому для этого вам потребуется отдельный сертификат.

Вопрос: На моем сервере установлено несколько серверных ролей. Нужно ли мне устанавливать сертификаты во всех службах ролей, которые у меня используются?

Ответ: Безусловно. Каждая служба роли использует сертификаты для определенных целей. Хотя роли и можно размещать на одном сервере, при использовании сертификатов считайте их независимыми ролями.

Обзор развертывания сертификата сервера Server Certificate Deployment Overview

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом разделе содержатся следующие подразделы. This topic contains the following sections.

Компоненты развертывания сертификата сервера Server certificate deployment components

Это руководством можно использовать для установки служб сертификатов Active Directory (AD CS) в качестве корневого центра сертификации (ЦС) предприятия, а также для регистрации сертификатов серверов на серверах, на которых выполняется сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или как NPS, так и RRAS. You can use this guide to install Active Directory Certificate Services (AD CS) as an Enterprise root certification authority (CA) and to enroll server certificates to servers that are running Network Policy Server (NPS), Routing and Remote Access service (RRAS), or both NPS and RRAS.

При развертывании SDN с проверкой подлинности на основе сертификата серверы должны использовать сертификат сервера, чтобы доказать свои удостоверения другим серверам, чтобы обеспечить безопасную связь. If you deploy SDN with certificate-based authentication, servers are required to use a server certificate to prove their identities to other servers so that they achieve secure communications.

На следующем рисунке показаны компоненты, необходимые для развертывания сертификатов сервера на серверах в инфраструктуре SDN. The following illustration shows the components that are required to deploy server certificates to servers in your SDN infrastructure.

Читайте также:  Windows facebook app settings

На рисунке выше показаны несколько серверов: DC1, CA1, WEB1 и многие серверы SDN. In the illustration above, multiple servers are depicted: DC1, CA1, WEB1, and many SDN servers. В этом учебнике содержатся инструкции по развертыванию и настройке CA1 и WEB1, а также для настройки DC1, в которой предполагается, что в вашей сети уже установлено приложение. This guide provides instructions for deploying and configuring CA1 and WEB1, and for configuring DC1, which this guide assumes you have already installed on your network. Если вы еще не установили домен Active Directory, это можно сделать с помощью основного сетевого каталога для Windows Server 2016. If you have not already installed your Active Directory domain, you can do so by using the Core Network Guide for Windows Server 2016.

Дополнительные сведения о каждом элементе, показанном на рисунке выше, см. в следующих статьях: For more information on each item depicted in the illustration above, see the following:

CA1, выполняющий роль сервера AD CS CA1 running the AD CS server role

В этом сценарии корневой центр сертификации (ЦС) предприятия также выдает выдающий ЦС. In this scenario, the Enterprise Root certification authority (CA) is also an issuing CA. ЦС выдает сертификаты на серверные компьютеры, имеющие правильные разрешения безопасности для регистрации сертификата. The CA issues certificates to server computers that have the correct security permissions to enroll a certificate. Службы сертификатов Active Directory (AD CS) установлены в CA1. Active Directory Certificate Services (AD CS) is installed on CA1.

Для более крупных сетей или в случаях, когда вопросы безопасности обеспечивают обоснование, можно разделить роли корневого центра сертификации и выдачу ЦС, а также развернуть подчиненные ЦС, выдающие ЦС. For larger networks or where security concerns provide justification, you can separate the roles of root CA and issuing CA, and deploy subordinate CAs that are issuing CAs.

В наиболее безопасных развертываниях корневой ЦС предприятия переключается в автономный режим и физически защищаются. In the most secure deployments, the Enterprise Root CA is taken offline and physically secured.

Файл CAPolicy. INF CAPolicy.inf

Перед установкой служб AD CS необходимо настроить файл CAPolicy. INF с конкретными параметрами развертывания. Before you install AD CS, you configure the CAPolicy.inf file with specific settings for your deployment.

Копия шаблона сертификата серверов RAS и IAS Copy of the RAS and IAS servers certificate template

При развертывании сертификатов сервера необходимо создать одну копию шаблона сертификата серверов RAS и IAS , а затем настроить шаблон в соответствии с вашими требованиями и инструкциями в этом разделе. When you deploy server certificates, you make one copy of the RAS and IAS servers certificate template and then configure the template according to your requirements and the instructions in this guide.

Вы используете копию шаблона, а не исходный шаблон, чтобы конфигурация исходного шаблона сохранилась для использования в будущем. You utilize a copy of the template rather than the original template so that the configuration of the original template is preserved for possible future use. Вы настраиваете копию шаблона RAS-и IAS-серверов , чтобы центр сертификации мог создавать сертификаты серверов, которые он выдает группам, в Active Directory пользователи и компьютеры, которые вы указали. You configure the copy of the RAS and IAS servers template so that the CA can create server certificates that it issues to the groups in Active Directory Users and Computers that you specify.

Дополнительная конфигурация CA1 Additional CA1 configuration

ЦС публикует список отзыва сертификатов (CRL), который должен проверить компьютеры, чтобы убедиться, что сертификаты, представленные им в качестве подтверждения личности, являются действительными сертификатами и не были отозваны. The CA publishes a certificate revocation list (CRL) that computers must check to ensure that certificates that are presented to them as proof of identity are valid certificates and have not been revoked. Необходимо настроить центр сертификации, указав правильное расположение списка отзыва сертификатов, чтобы компьютеры могли узнать, где искать список отзыва сертификатов в процессе проверки подлинности. You must configure your CA with the correct location of the CRL so that computers know where to look for the CRL during the authentication process.

WEB1, выполняющий роль сервера веб-служб (IIS) WEB1 running the Web Services (IIS) server role

На компьютере, на котором работает серверная роль веб-сервера (IIS), WEB1, необходимо создать папку в проводнике Windows для использования в качестве расположения для списка отзыва сертификатов и AIA. On the computer that is running the Web Server (IIS) server role, WEB1, you must create a folder in Windows Explorer for use as the location for the CRL and AIA.

Виртуальный каталог для списков отзыва сертификатов и AIA Virtual directory for the CRL and AIA

После создания папки в проводнике Windows необходимо настроить ее в качестве виртуального каталога в диспетчере службы IIS (IIS), а также для настройки списка управления доступом для виртуального каталога, чтобы разрешить компьютерам доступ к AIA и списку отзыва сертификатов после их публикации. After you create a folder in Windows Explorer, you must configure the folder as a virtual directory in Internet Information Services (IIS) Manager, as well as configuring the access control list for the virtual directory to allow computers to access the AIA and CRL after they are published there.

DC1 с ролью AD DS и DNS-сервера DC1 running the AD DS and DNS server roles

DC1 — это контроллер домена и DNS-сервер в сети. DC1 is the domain controller and DNS server on your network.

групповая политика политики домена по умолчанию Group Policy default domain policy

После настройки шаблона сертификата в центре сертификации можно настроить политику домена по умолчанию в групповая политика, чтобы сертификаты автоматически подписываются на серверы NPS и RAS. After you configure the certificate template on the CA, you can configure the default domain policy in Group Policy so that certificates are autoenrolled to NPS and RAS servers. Групповая политика настраивается в AD DS на сервере DC1. Group Policy is configured in AD DS on the server DC1.

Запись ресурса псевдонима DNS (CNAME) DNS alias (CNAME) resource record

Необходимо создать запись ресурса псевдонима (CNAME) для веб-сервера, чтобы убедиться, что другие компьютеры могут найти сервер, а также AIA и список отзыва сертификатов, которые хранятся на сервере. You must create an alias (CNAME) resource record for the Web server to ensure that other computers can find the server, as well as the AIA and the CRL that are stored on the server. Кроме того, использование записи ресурса псевдонима CNAME обеспечивает гибкость, чтобы можно было использовать веб-сервер для других целей, например для размещения веб-узлов и сайтов FTP. In addition, using an alias CNAME resource record provides flexibility so that you can use the Web server for other purposes, such as hosting Web and FTP sites.

Читайте также:  Windows вывод звука с устройства

NPS1, выполняющий службу роли сервера политики сети для роли сервера «политика сети и службы доступа» NPS1 running the Network Policy Server role service of the Network Policy and Access Services server role

Сервер политики сети устанавливается при выполнении задач в сетевом каталоге Windows Server 2016 Core, поэтому перед выполнением задач в этом разделе необходимо, чтобы в сети уже было установлено одно или несколько НПСС. The NPS is installed when you perform the tasks in the Windows Server 2016 Core Network Guide, so before you perform the tasks in this guide, you should already have one or more NPSs installed on your network.

групповая политика применены и сертификат зарегистрирован на серверах Group Policy applied and certificate enrolled to servers

После настройки шаблона сертификата и автоматической регистрации можно обновить групповая политика на всех целевых серверах. After you have configured the certificate template and autoenrollment, you can refresh Group Policy on all target servers. В настоящее время серверы регистрируют сертификат сервера из CA1. At this time, the servers enroll the server certificate from CA1.

Обзор процесса развертывания сертификата сервера Server certificate deployment process overview

Сведения о том, как выполнить эти действия, приведены в разделе Развертывание сертификата сервера. The details of how to perform these steps are provided in the section Server Certificate Deployment.

Процесс настройки регистрации сертификата сервера выполняется на следующих этапах: The process of configuring server certificate enrollment occurs in these stages:

В WEB1 установите роль веб-сервера (IIS). On WEB1, install the Web Server (IIS) role.

На компьютере DC1 создайте запись псевдонима (CNAME) для веб-сервера WEB1. On DC1, create an alias (CNAME) record for your Web server, WEB1.

Настройте веб-сервер для размещения списка отзыва сертификатов из центра сертификации, затем опубликуйте список отзыва сертификатов и скопируйте сертификат корневого ЦС предприятия в новый виртуальный каталог. Configure your Web server to host the CRL from the CA, then publish the CRL and copy the Enterprise Root CA certificate into the new virtual directory.

На компьютере, где планируется установить AD CS, назначьте компьютеру статический IP-адрес, переименуйте компьютер, Присоедините компьютер к домену, а затем войдите в систему, используя учетную запись пользователя, который является членом групп «Администраторы домена» и «Администраторы предприятия». On the computer where you are planning to install AD CS, assign the computer a static IP address, rename the computer, join the computer to the domain, and then log on to the computer with a user account that is a member of the Domain Admins and Enterprise Admins groups.

На компьютере, где планируется установить AD CS, настройте в файле CAPolicy. INF параметры, характерные для вашего развертывания. On the computer where you are planning to install AD CS, configure the CAPolicy.inf file with settings that are specific to your deployment.

Установите роль сервера AD CS и выполните дополнительную настройку ЦС. Install the AD CS server role and perform additional configuration of the CA.

Скопируйте список CRL и сертификат ЦС из CA1 в общую папку на веб-сервере WEB1. Copy the CRL and CA certificate from CA1 to the share on the Web server WEB1.

В центре сертификации Настройте копию шаблона сертификата Серверы RAS и IAS. On the CA, configure a copy of the RAS and IAS Servers certificate template. ЦС выдает сертификаты на основе шаблона сертификата, поэтому необходимо настроить шаблон для сертификата сервера, прежде чем ЦС сможет выдать сертификат. The CA issues certificates based on a certificate template, so you must configure the template for the server certificate before the CA can issue a certificate.

Настройте автоматическую регистрацию сертификата сервера в групповая политика. Configure server certificate autoenrollment in Group Policy. При настройке автоматической регистрации все серверы, указанные в Active Directory членства в группах, автоматически получают сертификат сервера при обновлении групповая политика на каждом сервере. When you configure autoenrollment, all servers that you have specified with Active Directory group memberships automatically receive a server certificate when Group Policy on each server is refreshed. Если позднее добавить серверы, они также будут автоматически получить сертификат сервера. If you add more servers later, they will automatically receive a server certificate, too.

Обновите групповая политика на серверах. Refresh Group Policy on servers. При обновлении групповая политика серверы получают сертификат сервера, основанный на шаблоне, настроенном на предыдущем шаге. When Group Policy is refreshed, the servers receive the server certificate, which is based on the template that you configured in the previous step. Этот сертификат используется сервером для подтверждения его подлинности клиентским компьютерам и другим серверам в процессе аутентификации. This certificate is used by the server to prove its identity to client computers and other servers during the authentication process.

Все компьютеры, входящие в домен, автоматически получают сертификат корневого ЦС предприятия без настройки автоматической регистрации. All domain member computers automatically receive the Enterprise Root CA’s certificate without the configuration of autoenrollment. Этот сертификат отличается от сертификата сервера, настроенного и распространяемого с помощью автоматической регистрации. This certificate is different than the server certificate that you configure and distribute by using autoenrollment. Сертификат ЦС автоматически устанавливается в хранилище сертификатов доверенных корневых центров сертификации для всех компьютеров-членов домена, чтобы они доверяли сертификатам, выданным этим ЦС. The CA’s certificate is automatically installed in the Trusted Root Certification Authorities certificate store for all domain member computers so that they will trust certificates that are issued by this CA.

Убедитесь, что все серверы зарегистрировали действительный сертификат сервера. Verify that all servers have enrolled a valid server certificate.

Оцените статью
© 2024 Советы по настройке компьютера