Certificate Authority | הגדרת תבניות וחלוקת תעודות דרך GPO

במאמר זה נראה כיצד להגדיר תבניות ולבצע Group Policy על מנת להפיץ תעודות למשתמשים

נתחיל בהגדרת תבניות, התבניות מגדירות את אופן חידוש התעודות, פרסום התעודות לAD , האם לאפשר למשתמש לייצא את המפתח ועוד

נפתח את Server Manager -> Tools -> Certification Authority

מסומן באדום

נלחץ קליק ימני על Certificate Template

ואז Manage

לא ניתן לערוך כאן את התבניות חייב להיכנס לניהול התבניות

כעת נלחץ על User קליק ימני ואז Duplicate Template

עדיפות לבצע שכפול ואז עריכת התבנית

בלשונית General ניתן שם קליט יותר ושונה מהברירת מחדל הקיימת

נסמן ב V את Publish Certificate In Active Directory וגם את הריבוע השני , כמו בתמונה

כמה זמן תקפה התבנית? וכל כמה זמן תתחדש?

כעת נעבור ללשונית ל Request Handling

נבדוק שלא ניתן לייצא את המפתח Allow privte ket to be exported (שלא יהיה V מסומן)

כעת נעבור ל Extensions ונלחץ על Edit

עריכה

נלחץ על Client Authentication ואז Add

Edit

וכאן נבחר את Server Authentication

Server Authentication

לחצו פעמיים OK

כעת נעבור ללשונית Security

נלחץ על Domain Users ונסמן בV את

Read, Enroll, AutoEnroll

לחצו OK

סמנו בדיוק כמו בתמונה

כעת לאחר שהגדרנו את המשתמשים ניתן להגדיר את תחנות העבודה:

הרבה שואלים : אם כך מה ההבדל בין Workstation Authentication לבין Computer אז ככה בComputer  ניתן להפיץ את התעודה על ידי  Automatic Certificate Request settings ואם נגדיר את Workstation Authentication זה יבוצע דרך ה GPO ב AutoEnrollment

לחצו קליק ימני על Workstation Authentication ואז Duplicate Template

גם פה נבצע שכפול

גם פה בGeneral הגדירו את ה Publish to AD כמו בתמונה ורשמו שם אינפורמטיבי

גם פה ניתן להגדיר את זמני החידוש וזמן התוקף של התבנית

עברו ל Subject Name וסמנו בV את UPN

הוסיפו את ה V השלישי UPN

עברו לSecurity לחצו על Domain Computers

וסמנו בV את Read, Enroll , AutoEnroll

ואז OK

Domain Computers לא להתבלבל עם Domain Admins

כעת לחצו קליק ימני על Certificate Templates ואז New ולסיום Certificate Template to issue

כעת נגדיר איזה תבניות "יפעלו"

נסמן בV את התבניות שכרגע הכנו

נסמן את מה שיצרנו

 כעת נגדיר את ה Group Policy

נכנס ל Server Manager -> Tools ->  Group Policy Manager

GPO

נלחץ קליק ימני על Default Domain Policy ואז Edit

ניתן ליצור GP חדש

כעת נכנס לנתיב

Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies

בדקו שאתם עורכים את AutoEnroll ולא מה שמסומן כאן בכחול

כעת לחצו קליק ימני על Certificate Services Client – Auto -Enrollment ואז Properties

אפשרויות

סמנו את Enabled וסמנו את 2 הריבועים בV ואז לחצו OK

הגדירו כמו בתמונה

כעת נעבור לנתיב

User Configuration -> Windows Settings -> Security Settings -> Public Key Policies

כעת לחצו קליק ימני על Certificate Services Client – Auto -Enrollment ואז Properties

אפשרויות

נסמן כמו בתמונה

כמו בתמונה

בסיום הריצו Gpupdate /force

gpupdate /force

כעת  בצעו Restart לשרת CA

אם לא עזר ריסטארט לתחנה או לשרת המתינו

לאחר מכן תוכלו לראות בעמדת הקצה את התעודה

ניתן לראות שהתעודה הונפקה למחשב זה

התעודה תונפק לכל המשתמשים בארגון