Имея самозаверяющие файлы CRT и KEY, могу ли я установить их в настройках интрасети Windows Active Directory, чтобы все машины могли их выбрать?
Я смотрю на настройку сервера чата Zulip в локальной сети Active Directory. Для сервера чата требуется сертификат SSL, который позволяет генерировать файлы CRT и KEY из OpenSSL.
Однако с этими файлами я хотел бы установить их в настройке Active Directory, чтобы все пользователи и машины, являющиеся частью Active Directory, автоматически брали их и не получали предупреждений о необходимости принятия неизвестного сертификата.
Я пытался это сделать в Google, но либо мои навыки поиска невелики, либо я просто использую неправильные термины и, таким образом, получаю неправильный контент.
2 ответа
Да, можно развертывать сертификаты ЦС с помощью групповой политики - в разделе " Параметры Windows" → "Параметры безопасности" → "Политики открытых ключей" → "Доверенные корневые центры сертификации".
Но так как у вас уже есть Active Directory, я настоятельно рекомендую установить компонент служб сертификатов и создать действительный центр сертификации, из которого вы будете выпускать отдельные сертификаты сервера, чтобы вы могли продолжать добавлять внутренние службы и по-прежнему использовать только один сертификат для все, а не десятки самозаверяющих.
Вы не можете распространять сертификат И (закрытый) ключ с помощью групповой политики. Сама идея довольно бессмысленна, так как закрытый ключ по определению является личным и поэтому не должен использоваться совместно.
Однако вы можете распространять сертификаты по групповой политике. В зависимости от версии Windows вы можете отправлять сертификаты в корневое хранилище, промежуточное хранилище или другие.
Что вам нужно сделать, это создать центр сертификации (с OpenSSL, Microsoft Active Directory Certificate Services (ADCS) или другими инструментами) и использовать его для подписания запросов на подпись сертификатов от каждого клиента.
Как говорит @grawity, у вас есть Windows, поэтому вы можете использовать ADCS для этого. Вы даже можете настроить его так, чтобы все клиенты автоматически регистрировались для получения сертификата без какого-либо вмешательства пользователя.
Мое предложение:
- Установите автономный Root CA с помощью Microsoft ADCS;
- Установите онлайновый выдающий центр сертификации с помощью Microsoft ADCS;
- Настройте групповую политику для распространения сертификата корневого ЦС на все устройства;
- Настройте групповую политику, чтобы включить автоматическую регистрацию, чтобы все ваши устройства запрашивали свои собственные сертификаты у выдающего ЦС;
Помните, что плохая безопасность хуже, чем отсутствие безопасности вообще. Проведите исследование, прежде чем углубиться в PKI.