none
20082域控制器证书问题 RRS feed

  • 问题

  • 1、2008r2域内,如何查看域内有几台注册的根ca?

    2、加域的2008r2,安装好ad证书服务,添加企业根ca,会自动将该ca注册到域?如需手动注册,如何操作?

    3、2008r2的域控,在什么情况下会注册使用使用域控制器或域控制器身份验证证书?kerberos会使用到该证书吗?

    4、默认情况下,域内radius和外部ldap和dc通信,dc是否需要使用域控制器或域控制器身份验证的证书?

    2019年7月22日 6:35

答案

  • 尊敬的客户,您好!

    1. 我们所知道的就是CA根证书本来就在AD域中,ADSI编辑器的配置分区中。










    2. 那么对于其他的证书都是存储在CA上的,即已颁发的证书这个文件夹中。



    3. 证书的数据库在CA服务器的以下路径下,即%SystemRoot%\System32\Certlog文件夹下。


    4. 对于使用证书模板颁发的证书,我们知道的就是证书模板中的一个选项:

    在Active Directory中发布证书
    如果Active Directory中存在重复的证书,请不要自动重新注册




    很抱歉,根据您提供的信息,我们知道的就是以上的内容。

    感谢您的理解和支持。祝您工作生活愉快!



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2019年7月26日 2:13
    2019年7月25日 8:10
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下是对我们问题的回复:

    1.2008r2域内,如何查看域内有几台注册的根ca?

    请查看您发布的另个一帖子中相同的问题以及我的回复:2008r2域内,如何替换根ca?


    2.加域的2008r2,安装好ad证书服务,添加企业根ca,会自动将该ca注册到域?如需手动注册,如何操作?

    请问我们是不是咨询安装好的企业根CA证书,域内的客户端和域用户是不是会自动信任此企业根CA证书? 如果是的话,我在我的环境中查看,我没有设置(计算机配置(用户配置) - >策略 - > Windows设置 - >安全设置 - >公钥策略公钥策略下的任何策略,此根CA证书会自动注册到域内的客户端和域用户,如下所示:

    (1)当域管理员登录客户端:

    计算机证书自动信任根CA证书:



    用户证书自动信任根CA证书


    (2)域用户登录客户端:

    只能看到用户证书:



    3.2008r2的域控,在什么情况下会注册使用使用域控制器或域控制器身份验证证书?Kerberos会使用到该证书吗?

    在我的测试环境中,我发现:

    (1) 在CA所在的域里新增加域控的时候,会生成对应的域控制器证书。
    (2) 或者新建CA以后,CA上会生成对应的域里的域控制器证书。

    Kerberos 是身份验证协议,我认为身份验证不会用到域控制器证书。从以下的Kerberos的工作原理文档中也可以看出Kerberos身份验证不会用到域控制器证书。
    How the Kerberos Version 5 Authentication Protocol Works

    4.默认情况下,域内radius和外部ldap和dc通信,dc是否需要使用域控制器或域控制器身份验证的证书?

    NPS找DC就跟域内客户端登录找DC使用同样的验证过程,使用Kerberos验证。

    从以下的三方的案子中我们可以看出:
    What does a domain controller (DC) use a certificate for?

    对于加入域的Windows客户端已经拥有SASL签名(Simple Authentication and Security Layer: 简单认证和安全层 )和密封以及Kerberos,它已经加密并且非常安全, 所以他们会继续使用Kerberos.

    我们使用LDAPS的主要方式之一是第三方服务或非域加入系统,它们需要一种安全的方式来查询域控制器。即使这些系统未加入域,使用LDAPS它们仍然可以从加密通信中受益(例如VPN集中器,Wifi路由器,Linux系统等)。

    域控制器还可以使用其证书进行IPsec通信,无论是在它们之间还是与成员服务器之间。


    提示:这个回答包含了第三方网站的内容。微软对这些网站的内容不做任何陈述。我们提供这些内容仅仅是为了您的便利。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月23日 8:22
    版主
  • 感谢您的回答,

    可能我的两个提问都是类似主题,请见谅

    1、之前我记得创建了ca证书服务器,可以将该ca服务器注册到域或ad,有这个选项,但是现在找不到了,请问您知道在哪里吗?

    2、如下图,我在根ca复制了一个计算机证书模板,但是使用客户端注册,却发现该模板不可用,截图如下,该ca是我域内唯一的根ca,使用正常,这是为何


    2019年7月24日 1:33
  • 尊敬的客户,您好!
    1. 根据这句话"可以将该ca服务器注册到域或ad,有这个选项",我们指的是将CA服务器注册到域或者AD还是说让CA根证书注册到域或者AD?

    2. 如果我们是一层CA(b-dc2019-CA是我的根CA证书),我们可以查看客户端的MMC.exe里的受信任的根颁发机构文件夹和中间颁发机构文件夹下是否有这个根CA证书:






    如果我们是二层CA(Fabrikam Root CA和 FAbrikam Issuing CA分别是我的根CA证书和颁发CA证书),我们可以查看客户端的MMC.exe里的受信任的根颁发机构文件夹是否有这个根CA证书,并且中间颁发机构文件夹下是否有这个根CA证书和颁发CA证书:






    如果没有的话,需要把根证书导进去,或者方便的话,重新加域。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月24日 9:12
    版主
  • 1. 根据这句话"可以将该ca服务器注册到域或ad,有这个选项",我们指的是将CA服务器注册到域或者AD还是说让CA根证书注册到域或者AD?

    我记得是ca服务器,有一个点选项

    2019年7月25日 1:40
  • 尊敬的客户,您好!

    1. 我们所知道的就是CA根证书本来就在AD域中,ADSI编辑器的配置分区中。










    2. 那么对于其他的证书都是存储在CA上的,即已颁发的证书这个文件夹中。



    3. 证书的数据库在CA服务器的以下路径下,即%SystemRoot%\System32\Certlog文件夹下。


    4. 对于使用证书模板颁发的证书,我们知道的就是证书模板中的一个选项:

    在Active Directory中发布证书
    如果Active Directory中存在重复的证书,请不要自动重新注册




    很抱歉,根据您提供的信息,我们知道的就是以上的内容。

    感谢您的理解和支持。祝您工作生活愉快!



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2019年7月26日 2:13
    2019年7月25日 8:10
    版主
  • 尊敬的客户,您好!

    感谢您将我的回复标记为答案。很高兴提供的信息对您有用。

    一如既往,如果后期遇到什么其他问题,欢迎您随时上帖。我们很高兴协助您!

    祝您工作生活顺利!

       
    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月26日 3:39
    版主