Регистрация Войти
Рейтинг:3
avatar Server

Автоматическая регистрация контроллера домена — изменение выдающего ЦС

флаг us
TheCleaner

Мы очищаем нашу среду Windows PKI/CA и заменяем наш корневой CA новым сервером. Текущий корневой ЦС уже много лет выпускает следующие шаблоны сертификатов (в дополнение к шаблону подчиненного сертификата):

  • Kerberos-аутентификация
  • Аутентификация контроллера домена (мы знаем, что теперь она заменена шаблоном аутентификации Kerberos)
  • Контроллер домена (мы знаем, что теперь он заменен)
  • Репликация электронной почты каталога

Подчиненный ЦС также имеет "выданные" шаблоны.

Мы знаем, что это не идеально, и новый корневой ЦС будет настроен на выдачу только подчиненного шаблона сертификата.

ВОПРОС:

После удаления шаблонов, указанных выше, от выдачи корневым ЦС (НЕ удаляя сам шаблон, а просто удаляя его из этого корневого ЦС), когда контроллеры домена автоматически продлевают эти сертификаты, указанные выше, будут ли они знать, что нужно обратиться к подчиненному ЦС для обновления/выдачи нового сертификата на основе тех шаблонов, которые требуются для контроллера домена? Или есть что-то еще, что нам нужно сделать, чтобы заблаговременно выдавать новые сертификаты контроллерам домена в среде? Существующие сертификаты не будут отозваны, поэтому они будут действительны до тех пор, пока не произойдет повторная регистрация, но нам любопытно, не произойдет ли повторная регистрация, если исходные сертификаты были выпущены старым корневым центром сертификации. Мы не уверены, как DC «решает», какой CA выбрать, если более чем одному CA разрешено выдавать эти шаблоны DC.

Дополнительный дополнительный вопрос:

Знаете ли вы, как повлияют существующие сертификаты, выпущенные существующей SubCA после замены rootCA? Мы переносим rootCA на новое имя: Пошаговая миграция ЦС на новый сервер - другие в комментариях задавали в основном тот же вопрос, что и я, о существующих сертификатах, но без ответа. Я предполагаю, что пока у клиента все еще есть старая RootCA в своем доверенном корневом хранилище и SubCA в промежуточном хранилище, у него все еще должна быть хорошая цепочка сертификатов до истечения срока действия сертификата, но я хотел бы знать наверняка заранее времени.

342
0 + 0
Рейтинг:4
avatar Server
флаг cn
Crypt32

когда контроллеры домена автоматически продлевают эти сертификаты, указанные выше, будут ли они знать, что нужно обратиться к подчиненному ЦС для обновления/выдачи нового сертификата на основе тех шаблонов, которые требуются для контроллера домена?

да. Клиенты регистрации сначала перечислят все центры сертификации, которые поддерживают запрошенный шаблон из AD. Затем клиент выберет случайный ЦС из этого списка для отправки запроса на продление. То есть удаление всех шаблонов из корневого ЦС допустимо, клиенты попытаются использовать другой доступный ЦС, поддерживающий этот шаблон.

p.s.хотя я бы рассмотрел возможность преобразования корпоративного корневого ЦС (присоединенного к домену) в автономный корневой ЦС (член рабочей группы), чтобы вы могли отключить корневой ЦС большую часть времени, потому что ему нечего делать в сети. Вы будете включать его один или два раза в год, чтобы опубликовать CRL или когда вам нужно подписать сертификат подчиненного центра сертификации. Но это другой вопрос, просто хороший способ следовать лучшим практикам.

Обновление 1 (21.01.2022)

На страницах Microsoft Docs ничего не говорится о том, как он перечисляет центры сертификации и т. д.

Клиент регистрации вызывает общий IX509Enrollment:: Зарегистрировать который выполняет серию вызовов (очень упрощенные шаги):

Обнаружение ЦС с помощью [МС-XCEP]

  1. Загрузить список политик из реестра.
  2. Групповые политики по Идентификатор Политики атрибут.
  3. Группы отсортированы по Расходы атрибут, затем по Аутентификация атрибут. Аутентификация Kerberos имеет более высокий приоритет. Остальные группы располагаются в произвольном порядке.
  4. Запросите каждую политику, позвонив IPolicy::GetPoliciesResponse веб-метод. Ответ содержит список веб-сервисов ЦС.
  5. Ответ содержит: список шаблонов сертификатов, на регистрацию которых у вызывающей стороны есть разрешения, и список конечных точек ЦС (которые реализуют [МС-ВШЭП] протокол) с информацией о поддерживаемых шаблонах сертификатов.
  6. подготовить пустой список.
  7. для каждой отсортированной группы политик:
  8. заказать ЦС по Расходы атрибут, затем по Аутентификация атрибут. Аутентификация Kerberos имеет более высокий приоритет. Остальные группы располагаются в произвольном порядке. Удалите центры сертификации, на которые у вызывающего абонента нет разрешений. Добавляйте упорядоченные ЦС в список в том же порядке.
  9. повторяйте (8), пока все центры сертификации не будут добавлены в список.
  10. для каждого ЦС в оставшемся списке:
  11. генерировать запрос сертификата и звонить ICertRequest:: Отправить отправить запрос в выбранный ЦС.
  12. повторяйте (11) до тех пор, пока вызов не завершится успешно.

Обнаружение ЦС с помощью [МС-WCCE]

  1. сделать вызов цикла do-while ICertConfig:: Далее для перечисления всех автоматически обнаруженных центров сертификации (локальных, зарегистрированных в AD, хранящихся в общем каталоге и т. д.). Это создаст список всех возможных ЦС.
  2. Для каждого CA клиент делает ICertRequest2:: Жеткапроперти позвонить с CR_PROP_TEMPLATES как propID параметр. Устранение автономных ЦС.
  3. Список фильтров, полученный в (1), для исключения ЦС, не поддерживающих запрошенный шаблон.
  4. если Осведомленность о сайте ЦС настроен, отфильтруйте список центров сертификации, которые находятся на том же сайте ADDS, что и клиент. Не фильтровать, если не настроена осведомленность о сайте ЦС или нет ЦС на том же сайте ADDS, где находится клиент.
  5. Вызов ICertRequest:: Жеткасертификате для получения сертификата CA и проверки каждого. Устраните центры сертификации с недействительным или ненадежным сертификатом.
  6. выбрать произвольный ЦС из оставшегося списка, сгенерировать запрос сертификата и позвонить ICertRequest:: Отправить отправить запрос в выбранный ЦС.

Опять же, это упрощенная последовательность задач для клиента регистрации, чтобы обнаружить центры сертификации и отправить запрос на сертификат.

Обновление 2

Знаете ли вы, как повлияют существующие сертификаты, выпущенные существующей SubCA после замены rootCA?

буквально ничего, если клиенты доверяют корневому центру сертификации.

0 + 0
флаг us
TheCleaner
Да, мы планируем преобразовать его в автономный и закрыть, как вы упомянули. Спасибо за объяснение, я удивлен, что страницы Microsoft Docs ничего не показывают о том, как он перечисляет центры сертификации и т. Д., Если только я просто не смог найти это с помощью своего GoogleFu. Спасибо Crypt32!
0
Ответить
флаг us
TheCleaner
Знаете ли вы, как повлияют существующие сертификаты, выпущенные существующей SubCA после замены rootCA? Мы переносим rootCA на новое имя по адресу: https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-migrating-active-directory-certificate-service-from/ba-p. /2328766?WT.mc_id=modinfra-27462-abartolo -- другие в комментариях задали в основном тот же вопрос, что и я, о существующих сертификатах, но без ответа. (К вашему сведению, завтра я добавлю награду за это, ценю дополнительное обсуждение)
0
Ответить
флаг cn
Crypt32
Я дополню свой ответ вашими ответами, когда завтра вернусь к ПК. Эта информация есть в Microsoft Docs, просто тщательно спрятанная в разных местах.
1
Ответить
флаг cn
Crypt32
см. обновленный ответ об обнаружении ЦС.
1
Ответить
флаг us
TheCleaner
Спасибо Crypt32, я думаю, что это отвечает на мой «дополнительный вопрос» в моем исходном вопросе. Если нет, не стесняйтесь редактировать в последний раз. Я добавлю очки позже сегодня и приму ваш ответ.
0
Ответить
флаг cn
Crypt32
Я быстро ответил на ваш второй вопрос в разделе «Обновление 2».
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.