Řadič domény při poskytování AD služeb používá, nebo může použít certifikát. Jako certifikační autoritu je možné použít roli Windows serveru.
Použité zkratky:
Standalone CA, certifikát pro řadič domény
CA můžeme nainstalovat v PowerShell:
Po instalaci CA je nutné provést její konfiguraci.
Video: Instalace a konfigurace Standalone CA
Standalone CA neobsahuje certificate templates a nepodporuje enrollment ze vzdáleného serveru. Je nutné vytvořit CSR a následně vygenerovat certifikát, který pro použití na DC musí obsahovat tyto položky:
1. Key usage
2. Enhanced Key Usage
3. CNAME: Server FQDN
4. SANs: Server FQDN, jméno domény a případně NetBIOS jméno řadiče domény
Video: Vytvoření CSR, vygenerování certifikátu
Po vygenerování certifikátu je potřeba tento certifikát importovat na řadiči domény a publikovat CA certifikát v AD.
Video: Import certifikátu na řadiči domény
Příkazy pro implementaci ROOT certifikátu (řadič domény):
certutil -enterprise -addstore NTAuth ca.cer
certutil -enterprise -addstore Root ca.cer
Příkaz pro závěrečnou kontrolu (řadič domény):
certutil -dcinfo verify
Enterprise CA, certifikát pro řadič domény
CA můžeme nainstalovat v PowerShell:
Video: Instalace a konfigurace Enterprise CA
CA obsahuje certificate templates. Řadič domény by měl použít template Kerberos Authentication
, který obsahuje všechny potřebné položky pro použití s Active Directory, to znamená:
Video: Získání certifikátu pro DC (enrollment)
Pokud právě probíhá implementace, kroky jdou rychle za sebou a templates nejsou dostupné, tak je potřeba spustit příkaz gpupdate /force
, kterým se certifikát CA stane důvěryhodným.
V případě, kdy řadič domény nemá připojení k Enterprise CA, je možné podobně jako se Standalone CA vytvořit CSR a následně vygenerovat certifikát.
Video: Získání certifikátu pro DC (ruční). Video obsahuje rovněž známé chyby a jejich řešení.
Při použití Enterprise CA je možné pomocí GPO zapnout autoenrollment certifikátů.
Computer Configuration (User Configuration)
> Windows Settings
> Security Settings
> Public Key Policies
Certificate Services Client - Auto-Enrollment
Renew expired certificates, update pending certificates, and remove revoked certificates
Update certificates that use certificate templates
Obecné tipy pro certifikát
Enhanced Key Usage
pouze hodnotu Server Authentication (1.3.6.1.5.5.7.3.1)