Что необходимо сделать для того чтобы сертификат автоматически назначался пользователям в домене
Настройка автоматической регистрации сертификатов
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Перед выполнением этой процедуры необходимо настроить шаблон сертификата сервера с помощью оснастки «Шаблоны сертификатов» консоли управления (MMC) в центре сертификации, где выполняется AD CS. членство в группах «администраторы Enterprise » и «администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры.
Настройка автоматической регистрации сертификата сервера
на компьютере, где установлен AD DS, откройте Windows PowerShell®, введите mmcи нажмите клавишу ввод. Откроется консоль управления (MMC).
Убедитесь, что выбраны редактор «Управление групповыми политиками» и не Групповая политика управления. Если выбрать Групповая политика управления, конфигурация с использованием этих инструкций завершится ошибкой, а сертификат сервера не будет автоматически зарегистрирован в НПСС.
В Групповая политика объектнажмите кнопку Обзор. Откроется диалоговое окно » Поиск объекта Групповая политика «.
В области домены, подразделения и связанные групповая политика объекты выберите Политика домена по умолчанию, а затем нажмите кнопку ОК.
Нажмите кнопку Готово, а затем — кнопку ОК.
Дважды щелкните Политика домена по умолчанию. в консоли разверните следующий путь: конфигурация компьютера, политики, Windows Параметры, безопасность Параметрыи политики открытого ключа.
Щелкните политики открытого ключа. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация. Откроется диалоговое окно Свойства. Настройте следующие элементы и нажмите кнопку ОК.
Нажмите кнопку ОК.
Настройка автоматической регистрации сертификата пользователя
на компьютере, где установлен AD DS, откройте Windows PowerShell®, введите mmcи нажмите клавишу ввод. Откроется консоль управления (MMC).
Убедитесь, что выбраны редактор «Управление групповыми политиками» и не Групповая политика управления. Если выбрать Групповая политика управления, конфигурация с использованием этих инструкций завершится ошибкой, а сертификат сервера не будет автоматически зарегистрирован в НПСС.
В Групповая политика объектнажмите кнопку Обзор. Откроется диалоговое окно » Поиск объекта Групповая политика «.
В области домены, подразделения и связанные групповая политика объекты выберите Политика домена по умолчанию, а затем нажмите кнопку ОК.
Нажмите кнопку Готово, а затем — кнопку ОК.
Дважды щелкните Политика домена по умолчанию. в консоли разверните следующий путь: конфигурация пользователя, политики, Windows Параметры, Параметры безопасности.
Щелкните политики открытого ключа. На панели подробностей дважды щелкните параметр Клиент службы сертификации: автоматическая регистрация. Откроется диалоговое окно Свойства. Настройте следующие элементы и нажмите кнопку ОК.
Настройка автоматической регистрации сертификатов
Многие сертификаты могут передаваться даже без уведомления клиента о происходящей регистрации сертификата. Сюда относятся многие типы сертификатов, выдаваемых компьютерам и службам, а также и многие сертификаты, выдаваемые пользователям.
Чтобы клиенты автоматически подавали заявки на сертификаты в доменной среде, необходимо выполнить указанные ниже действия.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или Администраторы предприятия или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
 | Чтобы настроить групповую политику автоматической регистрации сертификатов для домена |
На контроллере домена под управлением Windows Server 2008 R2 или Windows Server 2008 нажмите кнопку Пуск, выберите пункт Администрирование, а затем пункт Управление групповой политикой.
В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики Политика домена по умолчанию.
Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить.
В дереве консоли управления групповой политикой последовательно выберите Конфигурация пользователя, Конфигурация Windows, Параметры безопасности, затем щелкните пункт Политики открытого ключа.
Установите флажок Регистрировать сертификаты автоматически, чтобы включить автоматическую регистрацию сертификатов. Если требуется блокировать автоматическую регистрацию, установите флажок Не регистрировать сертификаты автоматически.
Если следует включить автоматическую регистрацию сертификатов, можно установить следующие флажки:
Чтобы сохранить все изменения, нажмите кнопку ОК.
Установка SSL сертификата на все компьютеры домена с помощью групповых политик
Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не развернута) на компьютеры пользователей в Active Directory.
Если вы используете самоподписанный SSL сертификат для своего сервера Exchange, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.
Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически распространить сертификат с помощью возможностей групповых политик (GPO). При использовании такой схемы распространения сертификатов, все необходимые сертификат будет автоматически устанавливаться на все старые и новые компьютеры домена.
В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку Certificates (для локального компьютера).
В мастере экспорта выберите формат DER encoded binary X.509 (.CER) и укажите путь к файлу сертификата.
Также вы можете получить SSL сертификат HTTPS сайта и сохранить его в CER файл с из PowerShell с помощью метода WebRequest:
Итак, вы экспортировали SSL сертификат Exchange в CER файл. Нужно поместить сертификат в сетевой каталог, куда у всех пользователей должен быть доступ на чтение (вы можете ограничить доступ к каталогу с помощью NTFS разрешений, или дополнительно скрыть его с помощью ABE). К примеру, пусть путь к файлу сертификата будет таким: \\msk-fs01\GroupPolicy$\Certificates. 
Перейдем к созданию политики распространения сертификата. Для этого, откройте консоль управления доменными политиками Group Policy Management (gpmc.msc). Чтобы создать новую политику, выберите OU на который она будет действовать (в нашем примере это OU с компьютерами, т.к. мы не хотим, чтобы сертификат устанавливался на сервера и технологические системы) и в контекстном меню выберите Create a GPO in this domain and Link it here…
Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.
В редакторе GPO перейдите в раздел Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Public Key Policies –> Trusted Root Certification Authorities (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Политики открытого ключа –> Доверенные корневые центры сертификации).
В левой части окна редактора GPO щелкните ПКМ и выберите пункт меню Import.
Укажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.
В соответствующем шаге мастера (Place all certificates in the following store) обязательно укажите, что сертификат нужно разместить в разделе Trusted Root Certification Authorities (Доверенные корневые центры сертификации).
Политика распространения сертификатов создана. Возможно более точно нацелить ( таргетировать) политику на клиентов с помощью Security Filtering (см. ниже) или WMI фильтрации GPO.
Вы можете проверить, что в браузере при открытии вашего HTTPS сайта (в нашем примере это Exchange OWA) больше не появляется предупреждение о недоверенном SSL сертификате. Теперь при настройке Outlook на ваш почтовый сервер Exchange (в Outlook 2016 ручная настройки почтового сервера возможна только через реестр) в программе перестанет появляться окно с предупреждением о недоверенном сертификате.
Если вы хотите, чтобы политика распространения сертификата применялась только к компьютерам (пользователям) в определенной группе безопасности, выберите в консоли Group Policy Management вашу политику Install-Exchange-Cert. На вкладке Scope в секции Security Filtering удалите группу Authenticated Users и добавьте вашу группу безопасности (например, AllowAutoDeployExchCert). Если прилинковать эту политику на корень домена, ваш сертификат будет автоматически распространен на все компьютеры, добавленные в группу безопасности.
Одной политикой вы можете распространить сразу несколько клиентских SSL сертификатов. Подробную информацию о сертификатах, которые распространяются вашей политикой можно посмотреть в консоли GPMC на вкладке Settings. Как вы видите, отображаются поля сертификата Issued To, Issued By, Expiration Date и Intended Purposes.
Если на компьютерах нет доступа в интернет, таким образом вы можете распространить на все устройства домена доверенные корневые сертификаты. Но есть более простой и правильный способ обновления корневых и отозванных сертификатов в изолированных доменах.
Итак, вы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный организационной юнит или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий (в целях безопасности желательно периодически проверять списки доверенных сертификатов на клиентах на поддельные и отозванные).
Автоматическая подача заявки на сертификаты компьютера и пользователя
За выпуск цифровых сертификатов и управление списками отзыва сертификатов (certificate revocation list, CRL) отвечает сервер, назначенный на роль сервера сертификации (certificate authority, СЛ). Чтобы настроить в качестве центра сертификации сервер Windows Server 2008, установите на нем службы сертификации Active Directory. Сертификация необходима компьютерам и пользователям для проверки подлинности и шифрования.
В корпоративной конфигурации СА предприятия используются для автоматической подачи заявок (autoenrollment). Это означает, что авторизованный пользователь и компьютер может запросить сертификат, а центр сертификации способен автоматически обработать этот запрос, чтобы пользователь или компьютер мог немедленно установить сертификат.
Способ работы автоматической подачи заявок определяется групповой политикой. Когда вы устанавливаете корпоративные центры сертификации, автоматически включаются политики автоматической подачи заявок для пользователей и компьютеров. Политика автоматической подачи заявки на сертификат компьютера называется Клиент служб сертификации: автоматическая подача заявок (Certificate Services Client-AutoEnroIhnent Settings) и расположена в узле Конфигурация компыотера\Конфигурация Windows\параметры безопасности\Политики открытого ключа (Computer Configuration\Windows Settings\Security Settings\Public Key Policies). Политика автоматической подачи заявки на сертификат пользователя называется так же и расположена в аналогичном нодузле узла Конфигурация пользователя (User Configuration).
Чтобы настроить автоматическую подачу заявок, выполните следующие действия:
1. В GPMC щелкните правой кнопкой нужный GPO и выберите Изменить (Edit).
2. В редакторе политики раскройте подузел Конфигурация Windows\пaраметры безопасности\Политики открытого ключа (Windows Settings\ Security Settings\Public Key Policies) узла Конфигурация пользователя (User Configuration) или Конфигурация компьютера (Computer Configuration).
3. Щелкните дважды Клиент служб сертификации: автоматическая подача заявок (Certificate Services Client-AutoEnrollment Settings). Чтобы отключить автоматическую подачку заявок, выберите в списке Модель конфигурации (Configuration Model) вариант Отключено (Disabled), щелкните ОК и пропустите остальные шаги. Чтобы отключить автоматическую подачку заявок, выберите в списке Модель конфигурации (Configuration Model) вариант Включено (Enabled).
4. Чтобы автоматически возобновлять просроченные сертификаты, обновлять ожидающие сертификаты и удалять отозванные сертификаты, установите соответствующий флажок.
5. Чтобы с гарантией запрашивать и использовать последние версии шаблонов сертификатов, установите флажок Обновлять сертификаты, использующие шаблоны сертификатов (Update Certificates That Use Certificate Templates).
6. Чтобы уведомлять пользователей о скором истечении срока действия сертификата, установите флажок Уведомлять обо окончании срока действия (Expiration Notification) и задайте условие отправки обновления. По умолчанию, если уведомления включены, они рассылаются, когда в распоряжении пользователя осталось менее 10% времени действия сертификата.
7. Щелкните ОК.
Что необходимо сделать для того чтобы сертификат автоматически назначался пользователям в домене
Добрый день! Уважаемые подписчики и гости, компьютерного блога №1 pyatilistnik.org. Давно я что-то не рассказывал вам ничего, о SSL сертификатах, сегодня я это исправлю. Не для кого не секрет, что сертификаты безопасности, не только применяют для защиты сайта и реализации https подключений, но и для идентификации службы или учетной записи, например, при аутентификации на VPN сервере (Cisco Any Connect). Такие сертификаты устанавливаются на локальных компьютерах в домене, и пользователь о них может даже и не знать, а вот люди, кто использует свои домашние компьютеры, для подключения в корпоративную сеть, должны их иметь в своем локальном хранилище и поставить вручную. И чтобы это сделать, человек должен иметь выгруженный архив сертификатов в формате pfx, для этой установки. Сегодня я вам покажу, как выгрузить сертификат пользователя из центра сертификации, чтобы системный администратор мог его передать человеку, для дальнейшей настройки.
Для чего нужно выгружать сертификат
Как я и писал выше, основная задача, это подключение пользователя в закрытую, корпоративную сеть, так как это безопасно. Сертификаты выступают в роли дополнительной защиты, в случае компрометации пароля учетной записи. Узнал так вот злоумышленник пароль жертвы, но подключиться не сможет, так как не будет иметь сертификата.
Случай из практики, есть подрядчик, который должен выполнить работу, так как он не сидит в офисе как обычные сотрудники, то у него нет доменного компьютера, а значит он не может автоматически получить сертификат, а так как для его запроса, он должен быть внутри корпоративной сети, то он не может это осуществить, и не сможет подключиться по VPN, чтобы выполнить свою работу. Или пользователь потерял или сломал свой компьютер и ему срочно, необходимо получить доступ к корпоративной, локальной сети, он просит вас помочь в этой ситуации. И единственным способом это сделать, является ручная выгрузка его сертификата в формате pfx с закрытым ключом, чтобы вы в дальнейшем передали его по электронной почте, для последующей установки.
Восстановление сертификата в Active Directory
И так, чтобы произвести выгрузку открытого и закрытого ключа из центра сертификации, у вас должны на это быть права. Делать это может группа или отдельные пользователи, у которых есть права на определенный шаблон. Давайте дадим определение агента восстановления ключей.
Агент восстановления ключа – это лицо, которому разрешено восстановить сертификат от имени конечного пользователя. Поскольку роль агентов восстановления ключей может касаться важных данных, эту роль можно назначать только заслуживающим доверия лицам.
Если вы хотите иметь возможность восстанавливать сертификаты на центре сертификации Windows, то вам необходимо дать права на шаблон сертификата агента восстановления ключей (Key Recovery Agent). Как только вы это сделаете, то сможете подавать заявки на восстановление.
Настройка шаблона сертификата агента восстановления ключей
Так же убедитесь, что у вас выставлена галка, разрешающая экспорт закрытых ключей (Allow private key to be exported)
Теперь когда вы убедились в наличии необходимых разрешений на процедуру восстановления сертификата, мы можем произвести его выгрузку. Для этого откройте cmd От имени администратора в сессии той учетной записи у которой есть права на шаблон (Агент восстановления ключей). Для экспорта сертификата с закрытым ключом, нам поможет консольная утилита certutil, если вы готовились к экзаменам по MCSE, то вы ее должны знать.
В итоге у меня команда отработала на ура.
Далее вы получаете BLOB файл
После чего выгружаете с помощью BLOB файла открытый и закрытый ключ в виде pfx архива,
Утилита certutil попросит вас задать пароль на архив, для большей безопасности.
Все теперь вы спокойно передаете архив с ключами по электронной почте, пользователю или подрядчику и на этом можно считать выгрузку сертификата из Active Directory завершенным. Вообще у утилиты cetrutil огромные возможности, которых нет в графическом интерфейсе.