Имея самозаверяющие файлы CRT и KEY, могу ли я установить их в настройках интрасети Windows Active Directory для всех компьютеров?

Question

Я пытаюсь настроить сервер чата Zulip в локальной сети Active Directory. Сервер чата требует SSL-сертификат, который позволяет генерировать файлы CRT и KEY из OpenSSL.

Однако с этими файлами я хотел бы установить их в настройке Active Directory, чтобы все пользователи и компьютеры, являющиеся частью Active Directory, автоматически брали их и не получали предупреждений о необходимости принятия неизвестного сертификата.

Я пытался использовать Google, но либо мои навыки поиска невелики, либо я просто использую неправильные термины и, таким образом, получаю неправильный контент.

Answer 1

Да, можно развертывать сертификаты ЦС с помощью групповой политики - в разделе « Параметры Windows» → «Параметры безопасности» → «Политики открытых ключей» → «Доверенные корневые центры сертификации».

Но так как у вас уже есть Active Directory, я настоятельно рекомендую установить компонент служб сертификатов и создать действительный центр сертификации, из которого вы будете выпускать отдельные сертификаты сервера, чтобы вы могли продолжать добавлять внутренние службы и по-прежнему использовать только один сертификат для все, а не десятки самозаверяющих.

Answer 2

Вы не можете распространять сертификат И (закрытый) ключ с помощью групповой политики. Сама идея довольно бессмысленна, так как закрытый ключ по определению является личным и поэтому не должен использоваться совместно.

Однако вы можете распространять сертификаты по групповой политике. В зависимости от версии Windows вы можете отправлять сертификаты в корневое хранилище, промежуточное хранилище или другие.

Вам нужно создать центр сертификации (с OpenSSL, Microsoft Active Directory Certificate Services (ADCS) или другими инструментами) и использовать его для подписи запросов на подпись сертификатов от каждого клиента.

Как говорит @grawity, у вас есть Windows, поэтому вы можете использовать ADCS для этого. Вы даже можете настроить его так, чтобы все клиенты автоматически регистрировались для получения сертификата без какого-либо вмешательства пользователя.

Мое предложение:

1. Установите автономный Root CA с помощью Microsoft ADCS;
2. Установите онлайновый выдающий центр сертификации с помощью Microsoft ADCS;
3. Настройте групповую политику для распространения сертификата корневого ЦС на все устройства;
4. Настройте групповую политику, чтобы включить автоматическую регистрацию, чтобы все ваши устройства запрашивали свои собственные сертификаты у выдающего ЦС;

Помните, что плохая безопасность хуже, чем отсутствие безопасности вообще. Проведите исследование, прежде чем углубиться в PKI.