首页> 系统技术> Windows AD CS CA证书续期(二)

[文章]Windows AD CS CA证书续期(二)

收藏
0 778 0

【摘要】

在我们日常运维中,相信CA证书续期有很多人没操作过。因为默认颁发的CA证书有效期为5年,有些企业甚至会设置更长的时间。导致一般也不需要进行CA证书的续期。不过在真正了解了步骤下来,我们也会发现续订的操作不麻烦,作者在之前也写过文章描述了证书续订的操作步骤。但在实际操作起来,才会深刻的了解到一些坑需要好好注意的。以下将简单介绍涉及的场景内容。

【正文】

   无线网络NPS证书修改

Ø  为了更加安全的让客户端连接无线网络使用,在内网会部署如NPS等网络准入的服务进行无线或有线网络连接认证。其中会使用到证书方式进行验证(以下将介绍WindowsNPS配置),一般我们会将无线WIFI配置隐藏,通过组策略方式下发策略给客户端,让客户端在网络范围内时自动连接使用。若我们进行了CA证书续期时,也必须进行该组策略的配置修改,选中新的CA证书,以便能让新的CA证书在无线网络策略受信任的根颁发颁发机构中,以便影响客户端连接无线网络。


二   网络代理设备证书修改

Ø  在企业网络中,为了能对用户的上网行为可控,会部署上网代理设备,针对特定的域名进行网络放行,拦截存在风险的域名,保证网络安全。在此类设备中,会存在使用证书验证的方式。此类设备的证书申请的证书一般为从属证书,因设备非加域客户端,在CA证书进行续期更新时,设备上的CA证书无法自动更新,在完成CA证书更新后,我们必须手动将新的CA证书导入到设备中,以免在CA证书过期后,用户无法正常上网。

三   中间件等证书修改

Ø  在我们日常使用的应用中,很多是以中间件部署的应用,如我们最常用的Tomcat。在安全扫描中的一个项目是应用需使用https(超文本传输安全协议)方式进行发布。该方式需要配合证书使用。因为我们会向内网的ADCS申请一张Web证书,以便导入到Tomcat中让应用程序进行使用。Web证书是基于AD CS颁发的,在CA续期之后,我们也应该进行该证书的替换,防止原CA过期后,应用无法正常使用。

Ø  需使用命令keytool -import -trustcacerts -alias [rootcaname] –file [rootca] -keystore [keystorename]进行新证书的导入。然后重启应用,保证新的证书生效


Ø  在导入完成后,可以使用命令确认证书信息是否有效


四   边缘服务器的证书修改

Ø  在应用发布中,可能会使用到边缘服务器,如Skype边缘服务器,TMG等,该类型服务器不像加域客户端一样,在AD CS证书更新后会自动获取到新的证书。我们需要将续期后的CA证书拷贝到边缘服务器上,然后导入至受信任的证书颁发机构。以便边缘服务器上的应用证书能正常提供验证服务。


五   工作组客户端

Ø  在企业中,普遍分为加域客户端,或者工作组的客户端。加域客户端在AD CS证书更新后能获取新的证书信息。但工作组的电脑也需像边缘服务器一样的操作,手动导入证书,以便访问使用了企业CA颁发证书的应用时不会提示证书错误。

六   小结

在以上的几个场景中,介绍了我们在更新AD CS CA证书后需针对其他服务器或者设备进行的一些操作。因为在AD CS中,根和从属的 CA 用于向用户、计算机和服务颁发证书,并管理证书有效性。根CA过期后,由其颁发的证书也会失去效果。为了防止该类情况的出现,我们应该建立证书的有效监控以及信息记录,防止在证书过期、替换或者更新证书时遗漏了应用,导致用户使用故障的情况。

系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}