4 votes

MVS avatar

Installer un certificat d'autorité de certification racine de confiance via GPO

Demandé el 29 de Janvier, 2013
Quand la question a-t-elle été
39933 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un Win2k8 en tant que contrôleur de domaine dans un domaine avec des postes de travail exécutant Windows XP. J'aimerais pouvoir installer via GPO un nouveau certificat d'autorité de certification racine de confiance que j'ai généré moi-même.

J'ai créé une GPO, importé le certificat dans Configuration de l'ordinateur\Paramètres de Windows\Paramètres de sécurité\Stratégies de clé publique\Autorités de certification racine de confiance et attribué la GPO à un groupe d'utilisateurs. Lorsque je lance gpupdate /force sur le poste de travail, je ne peux pas voir le certificat importé ... même si je redémarre la station.

Ensuite, j'ai pensé que peut-être je pourrais faire mieux si je créais un certificat d'autorité racine intermédiaire directement sur le DC et que je déploie le certificat d'autorité racine intermédiaire via la GPO. J'ai généré le certificat pour l'autorité intermédiaire et l'ai importé dans la même GPO sous Autorités de certification intermédiaires.

Encore une fois, j'ai lancé gpupdate /force (et redémarré) et vérifié le poste de travail. Je n'ai rien vu non plus dans la section Autorités intermédiaires ou Autorités racines.

Après un peu de recherche sur Google, j'ai réussi à trouver ce package MSI Lien, je l'ai installé sur deux postes de travail via une GPO et j'ai lancé gpupdate /force sur les postes de travail et j'ai remarqué que le certificat d'autorité intermédiaire était installé sur les postes de travail mais pas le CA racine.

Est-ce que quelqu'un a des idées sur ce que je pourrais essayer ensuite ?

Merci.

LE. J'ai oublié de mentionner que le CA Racine est sur une machine autonome, pas partie du domaine et que je prévois de la garder hors ligne.

Demandé el 29 de Janvier, 2013 par MVS

Réponses

Trop de publicités?

3voto

Greenstone Walker avatar
Greenstone Walker Points 782

J'ai créé un GPO, importé le certificat dans Configuration de l'ordinateur\Paramètres de Windows\Paramètres de sécurité\Stratégies de clés publiques\Autorités de certification de racine de confiance et assigné le GPO à un groupe d'utilisateurs

Si vous utilisez l'arborescence des stratégies "Configuration de l'ordinateur", il doit être lié à une OU où les comptes d'ordinateur sont stockés.

Si vous devez installer les certificats dans le magasin de certificats de l'utilisateur, alors certutil pourrait aider. Documentation de Microsoft sur certutil. Utilisez certutil -installcert (je pense que celui-ci peut être exécuté en tant qu'utilisateur) ou certutil -addstore -user root dans un script de connexion. Notez que je n'ai pas testé ces commandes, elles proviennent directement de l'aide certutil -v -?.

Répondu el 3 de Avril, 2013 par Greenstone Walker (782 Points )

0voto

arnoldtaw avatar
arnoldtaw Points 32

Nous avons eu un problème similaire il y a un certain temps. Si je me souviens bien, cela nous a aidés :

  1. Configuration de l'ordinateur > Paramètres Windows > Stratégies de clé publique > Double-cliquez sur Paramètres de validation du chemin de certificat, puis cliquez sur l'onglet Magasins.

  2. Sélectionnez la case à cocher Définir ces paramètres de stratégie.

  3. Sous Magasins de certificats par utilisateur, décochez les options Autoriser les autorités racine de confiance des utilisateurs à être utilisées pour valider les certificats et Autoriser les utilisateurs à faire confiance aux certificats de confiance des pairs dans les cases à cocher Magasins de certificats par utilisateur.

  4. Ensuite, utilisez gpupdate /force.

J'espère que cela résoudra votre problème.

Répondu el 29 de Janvier, 2013 par arnoldtaw (32 Points )

0voto

Naman Khandelwal avatar
Naman Khandelwal Points 1

Dans ce cas, pourquoi ne pas déployer également une CA intermédiaire pour émettre des Certificats? Si une CA autonome peut contacter les contrôleurs de domaine, elle publie son propre certificat dans les conteneurs AD appropriés, ce qui est le comportement par défaut. Si l'inscription automatique est déclenchée, les ordinateurs peuvent demander des certificats. La meilleure façon est d'utiliser une CA Racine d'entreprise et une CA d'émission. Les CA autonomes présentent des limitations en matière d'inscription et de déploiements. La configuration peut être trouvée ici. Bonne chance!

Répondu el 29 de Janvier, 2013 par Naman Khandelwal (1 Points )

0voto

Rich26 avatar
Rich26 Points 1

Slm était proche, mais au lieu de décocher les "Autoriser les CA racines de confiance des utilisateurs à être utilisées pour valider les certificats" et Autoriser les utilisateurs à faire confiance aux certificats de confiance de pair dans les stores de certificats par utilisateur" vous souhaitez COCHER les cases.

  1. Modifier la GPO déployant le certificat
  2. Dans l'Éditeur de stratégie de groupe, Configuration de l'ordinateur > Paramètres de Windows > Politiques de clés publiques > double-cliquer sur Paramètres de validation du chemin du certificat dans le volet de droite.
  3. Dans l'onglet Stores, sélectionnez la case à cocher Définir ces paramètres de stratégie. Sous Stores de certificats par utilisateur, SÉLECTIONNEZ les cases à cocher Autoriser les CA racines de confiance des utilisateurs à être utilisées pour valider les certificats et SÉLECTIONNEZ l'option Autoriser les utilisateurs à faire confiance aux certificats de confiance de pair dans les Stores de certificats par utilisateur.

Exécutez un gpupdate/force sur le(s) PC et le certificat sera déployé. N'oubliez pas de lier la GPO à l'OU à laquelle le(s) PC appartiennent.

Répondu el 8 de Août, 2016 par Rich26 (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X