我已经部署了一个具有延长日期的新CA,并且本周末成功注册了许多机器.
我现在担心关闭的工作站,或者没有从企业CA获得新的计算机证书.
问:
>工作站证书用于什么? Kerberos的?
>用户/机器能够在星期一早上(截止日期后)登录吗?
>证书过期后,机器是否可以获得新证书?
由于我使用的是Windows 2012 R2,因此可能会使用下层NTLM作为Kerberos的替代方案,这不是问题…虽然我不确定这在所有情况下都是可接受的:(例如DCOM注册证书)
• What are the Workstation Certificates used for? Kerberos?
不可以.Kerberos不使用SSL / TLS证书.**
管理员可以选择将给定的证书模板用于任何数量的不同事物,因此我们说我们现在无法知道您的环境中使用的证书到底是什么.
但是,工作站身份验证模板与计算机证书模板非常相似.这两个证书模板都提供计算机身份验证.因此,证书可用于建立机器到机器的SSL / TLS连接.
例如,可能已使用工作站身份验证证书的一个示例是使用SCCM进行客户端身份验证,以便SCCM知道它正在与正确的客户端通信.
• Will users/machines be able to login Monday morning (post expiration date)?
最有可能的. Active Directory不要求证书能够在典型配置下登录到域.但是你可能在你的环境中有一些辅助服务打破……以前使用这些证书,我们不知道.
• Once the certificates are expired,will it be possible for the machines to get new certificates?
您可以使用组策略和允许计算机自动注册的证书模板的权限组合在Active Directory中配置证书自动注册策略.您几乎不需要或想要在Active Directory环境中手动注册证书.
Since I’m using Windows 2012 R2,it’s possible that downlevel NTLM would be used as an alternative to Kerberos and this isn’t an issue… although I’m not sure if this is acceptable in all cases: (e.g. DCOM enrollment of certificates)
客户端从企业CA注册证书的能力不受该客户端是否具有有效证书的影响.这是我从您的帖子中可以看出的不同证书模板,因此旧证书模板过期的事实将不会影响计算机是否可以自动重新注册.如果是新模板,则需要配置组策略以允许自动注册该新模板.
** – 不是为了讨论的目的.
