none
Certificate Autoenrollment RRS feed

  • Общие обсуждения

  • Добрый день!  Сразу прошу прощения за копию темы, но в созданной теме в категории "Безопасность" за весь день 13 просмотров(((( Печально как-то.
    В домене в роли Issuing CA выступает MS server 2012R2. 
    При использовании Autoenrollment, как механизм автоматической выдачи сертификатов возникли вопросы. 
    Итак, 
    Automatic Certificate Request (ACR) — поддерживает автоматическое распространение сертификатов для компьютеров на основе шаблонов версии 1. 
    Autoenrollment — поддерживает автоматическое распространение сертификатов для компьютеров и пользователей на основе шаблонов версии 2 и 3. 

    1. Как я понимаю, при ACR используются только сертификаты версии 1. Для моей среды достаточно сертификатов для компьютера, т.е сертификатов версии 1. Включаю в GPO Autoenrollment: 
    ---- Computer Configuration –> Windows Settings –> Security Settings –> Public Key Policies –> Certificate Services Client — Autoenrollment 
    включил сам Autoenrollment engine 
    -----Computer Configuration –> Windows Settings –> Security Settings –> Public Key Policies –> Automatic Certificate Request Settings 
    создал необходимые запросы сертификатов -- шаблон "Компьютер" 
    2. После обновления групповой политики выдались сертификаты версии 1 на компьютеры. Но на контроллер домена выдались сертификаты версии 2, при том что в шаблонах центра сертификации их нет. 

    В шаблонах сертификатов версии 2 выданные контроллеру домена написано, что они заменяют шаблоны сертификатов версии 1 (Контроллер домена). Но в шаблоне сертификатов "Проверка подлинности Kerberos" - нет списка устаревших сертификатов 

    возник вопрос, 
    1.правильно ли это, что в выданных сертификатах есть новые и устаревшие сертификаты????? 
    2. Какой механизм приводит в действие данную замену сертификатов?

    3 апреля 2015 г. 13:27