许多工作站具有使用工作站身份验证 CA 模板颁发的即将到期的计算机证书。此模板的 CA 将在 2 天后到期。
我已经部署了一个新的 CA,并延长了日期,并在本周末成功注册了许多机器。
我现在担心关闭电源的工作站,或者没有从企业 CA 获得新的计算机证书。
问:
- 工作站证书有什么用途?克伯罗斯?
- 用户/机器是否能够在星期一早上(过期日期后)登录?
- 证书过期后,机器是否有可能获得新证书?
由于我使用的是 Windows 2012 R2,因此可能会使用下层 NTLM 作为 Kerberos 的替代品,这不是问题......虽然我不确定这是否在所有情况下都可以接受:(例如 DCOM 注册证书)
不。Kerberos 不使用 SSL/TLS 证书。**
管理员可以选择对任意数量的不同事物使用给定的证书模板,所以我想说我们现在不可能知道这些证书在您的环境中到底用于什么。
不过,工作站身份验证模板与计算机证书模板非常相似。这两个证书模板都提供计算机身份验证。因此,证书可用于建立机器对机器 SSL/TLS 连接。
例如,如何使用工作站身份验证证书的一个示例是使用 SCCM 进行客户端身份验证,以便 SCCM 知道它正在与正确的客户端通信。
最有可能的。Active Directory 不需要证书即可在典型配置下登录域。但是您的环境中可能有一些辅助服务会中断……无论之前使用的是什么证书,我们都不知道。
您可以结合使用组策略和允许计算机自动注册的证书模板的权限,在 Active Directory 中配置证书自动注册策略。您几乎不需要或希望在 Active Directory 环境中手动注册证书。
客户端从企业 CA 注册证书的能力不受该客户端是否具有有效证书的影响。它与我从您的帖子中得知的证书模板不同,因此旧证书模板已过期的事实不会影响计算机是否可以自动重新注册。如果是新模板,您需要配置组策略以允许自动注册该新模板。
** - 不是为了讨论的目的。
它们可用于安全通道协商期间的客户端身份验证(例如,在 IPsec 或 L2TP VPN 中)。当机器启动时,它们不用于初始客户端身份验证。
是的,为什么不?
手动--是的,自动--不。即使您使用自动注册,也必须在到期前续订,否则自动注册将无法签署续订请求。
总结一下:在某些应用程序配置为对计算机(而非用户)执行基于证书的身份验证之前,不会使用客户端证书。
MSFT 的回复:案例 114120112106756
任何寻找客户端身份验证的应用程序都需要客户端身份验证证书(通过计算机或工作站模板颁发给计算机的证书)。
是否检查客户端证书是应用程序配置。例如,可以将 SCCM 配置为通过客户端证书检查客户端的真实性。与 IIS Web 应用程序或基于 SSL 的 LDAP 相同。
只有客户端与应用程序启动的 SSL/TLS 通信才需要证书,反之亦然。Kerberos 在不同的应用程序层上工作,因此不需要证书。
在 EAP(扩展身份验证协议)的情况下,我们选择证书。现在,由于应用程序(如果已配置)为成功的 TLS/SSL 通信寻找客户端证书,因此您必须确保客户端存在证书,该证书证明客户端是合法的并且由受信任的证书颁发机构颁发。