শংসাপত্র তালিকাভুক্তি নীতি সক্ষম করুন এবং পাওয়ারশেল ব্যবহার করে একটি শংসাপত্রের অনুরোধ করুন


9

এখনই, আমি সিইপি সার্ভার থেকে শংসাপত্রের অনুরোধের জন্য নিম্নলিখিতগুলি করছি:

  • Gpedit.msc খুলুন
  • কম্পিউটার কনফিগারেশন> উইন্ডোজ সেটিংস> সুরক্ষা সেটিংস> সর্বজনীন কী নীতিসমূহের অধীনে, "শংসাপত্র পরিষেবাদি ক্লায়েন্ট - শংসাপত্র তালিকাভুক্তি নীতি" তে ডাবল ক্লিক করুন
  • সক্ষম করা
  • সিইপি ইউআরআই প্রবেশ করুন
  • ব্যবহারকারীর নাম / পাসওয়ার্ড প্রমাণীকরণে স্যুইচ করুন
  • বৈধকরণ (ক্রেডিট সরবরাহ করুন)
  • এমএমসি খুলুন এবং শংসাপত্রগুলি স্ন্যাপ ইন করুন
  • শংসাপত্রগুলিতে যান> ব্যক্তিগত
  • ডান-ক্লিক করুন> নতুন শংসাপত্রের অনুরোধ করুন
  • "আরও তথ্য" লিখুন (সিএন, ডিএনএস নাম, ইত্যাদি)
  • ক্রেডিট সরবরাহ করুন

এর পরে আমার সিইপি থেকে একটি শংসাপত্র রয়েছে; তবে, এটি ম্যানুয়ালি করার জন্য একটি বেদনাদায়ক প্রক্রিয়া। সার্ভার ২০০৮ (এবং ২০১২) এ এটি স্বয়ংক্রিয় করার কোনও উপায় আছে কি? আমি এই সম্পর্কে যে সমস্ত তথ্য সন্ধান করতে পারি তা কোনও সার্ভারকে একটি তালিকাভুক্তি নীতি সার্ভার তৈরি করতে সিইপি পরিষেবাদি ইনস্টল করতে হয় (আসলে নতুন সার্টের অনুরোধ করা বা ক্লায়েন্টের পক্ষ থেকে এটি সক্ষম করার বিষয়ে কিছুই নেই) tells এটি কি স্বয়ংক্রিয়ভাবে চালানো সম্ভব?

দেখে মনে হচ্ছে এই প্রক্রিয়াটি HKEY_LOCAL_MACHINE OF সফটওয়্যার \ নীতিগুলি \ মাইক্রোসফ্ট \ ক্রিপ্টোগ্রাফির অধীনে প্রচুর ডেটা যুক্ত করে। আমি কি ম্যানুয়ালি এটি যুক্ত করতে পারি (এবং একটি জিইউইডি / সার্ভিসআইডি ছদ্মবেশী)?


1
আপনার উত্সাহকে নিরুৎসাহিত করার জন্য নয়, যেমন আমি সমস্ত জিনিসগুলিকে ক্ষমতা দিতেও পছন্দ করি !!!!!! তবে গ্রুপ পলিসি সেমিডলেটগুলি এখনও একেবারে ভয়াবহ, এবং PKI সেমিডলেটগুলি v3 এর তুলনায় v4 এর তুলনায় অনেক উন্নতি হয়েছে, সুতরাং ... :( তবে, পাওয়ারশেল মডিউলটির জন্য আমি এই 3 য় পক্ষের পিকেআই মডিউলটি খুঁজে পাই এবং এটি কিছু অংশ নিতে পারে আপনি যা করতে চাইছেন সে সম্পর্কে ম্যানুয়াল ব্যথা
আশাহীন N00b

উত্তর:


3

আমি মনে করি আপনার শংসাপত্রের অনুরোধগুলি কোনও টেম্পলেট ব্যবহার করে করা হয়েছে। যদি এটি হয় তবে Public Key Policies/Certificate Services Client - Auto-Enrollment Settingsস্বয়ংক্রিয়ভাবে তালিকাভুক্তি প্রয়োগ করতে জিপিও ব্যবহার করুন । আপনি এটিও নিশ্চিত করতে চাইবেন যে এসএমএলটি ডোমেন কম্পিউটার বা ডোমেন ব্যবহারকারীদের জন্য চিহ্নিত করেছে Enrollএবং AutoEnrollচিহ্নিত করেছে (বা উদ্দেশ্যে যে শ্রোতাদের উপর নির্ভর করে কিছু কিছু আছে) কোনও মেশিন কিনা তা নির্ভর করে কোনও ব্যবহারকারী কনফিগার এবং কম্পিউটার কনফিগারেশন নীতি রয়েছে সার্ট বা ব্যবহারকারী শংসাপত্র আপনি চাপ দেওয়ার চেষ্টা করছেন। জিপিও লিঙ্ক করা এবং প্রয়োগের পরে নীতিটি ধাক্কা দেওয়া (সাধারণত প্রায় 15 মিনিট) ঠেকানো মাত্রই তালিকাভুক্তি শুরু হয়।


2
ভাল duh. আমি পাওয়ারশেলের অংশটিতে এতটাই ঝুলতে পেরেছি, আমি পুরোপুরি এই বিষয়টি ফাঁকে ফেলেছি যে আমি বহু বছর ধরে শংসাপত্রের তালিকাভুক্তি স্বয়ংক্রিয় করতে অনেকগুলি, অনেক জিপিও স্থাপন করেছি। ডি আহা! ভালো বল ধরা.
আশাহীন N00b

এটি অবশ্যই একটি বিকল্প (সম্ভবত সেরা বিকল্প), তবে আমি একটি স্থানীয় গোষ্ঠী নীতি সেটিং সেট করতে পছন্দ করব .. এটি কি সম্ভব?
EGR

2
@ জিআর আপনি বিশ্বে কেন এটি করতে চান?
MDMoore313

@ হোপলেস এন ২০০ বি আমিও একই কাজ করেছি, তবে সমস্যা সমাধানের উদ্দেশ্যে খুব কম সময়ে পাওয়ার পাওয়ারের উপায়টি রাখা খুব ভাল, তবে এটি এখনও বেশ ভাল প্রশ্ন।
MDMoore313

1

এটি আমি উইন্ডোজ 2012 আর 2 এবং এর চেয়েও উচ্চতর ব্যবহার করেছি। সমস্ত পাওয়ারশেল কোড একটি উন্নত পাওয়ারশেল প্রম্পট থেকে চালিত হয়েছিল was সম্পূর্ণ অটোমেশন ব্যবহারকারীর জন্য একটি অনুশীলন হিসাবে বাকি আছে।

পূর্বশর্ত

নিশ্চিত হয়ে নিন যে আপনার শংসাপত্রের সার্ভারে আপনার কোনও টেম্পলেট রয়েছে যার সাবজেক্ট ট্যাবে "অনুরোধে সরবরাহ করা" রেডিও বোতামটি রয়েছে। কারণ এটি কোনও AD মেশিন নয়, শংসাপত্রের সার্ভারটি তথ্যের জন্য সক্রিয় ডিরেক্টরিটি পর্যাপ্ত পরিমাণে জিজ্ঞাসা করতে পারে না।

রুট রফতানি করুন

আপনার শংসাপত্র সার্ভারে বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষের শংসাপত্রটি রফতানি করুন এবং তারপরে সেই শংসাপত্র ফাইলটি আপনার টার্গেট সার্ভারে অনুলিপি করুন

certutil --% -ca.cert <name of certificate file>

রুটকে বিশ্বাস করুন

আপনার টার্গেট সার্ভারে বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষের শংসাপত্রটি আমদানি করুন

$PathToCertificate=<name of certificate file>
$RootCertificate=Get-PfxCertificate -FilePath $PathToCertificate
$AlreadyExists=Get-ChildItem -Path "Cert:\LocalMachine\Root" | Where-Object { $_.Thumbprint -eq $RootCertificate.Thumbprint }
if ($AlreadyExists -eq $null) { Import-Certificate -CertStoreLocation "Cert:\LocalMachine\Root" -FilePath $PathToCertificate }
else { Write-Warning "Root certificate already installed" }

সক্রিয় ডিরেক্টরি নীতি সরবরাহকারী ider

সক্রিয় ডিরেক্টরি নীতি সরবরাহকারীর জন্য URL নির্ধারণ করুন

# Get AD Configuration Context
$RootDSE=[System.DirectoryServices.DirectoryEntry]::new("LDAP://RootDSE")
$ConfigContext="CN=Enrollment Services,CN=Public Key Services,CN=Services,"+$RootDSE.configurationNamingContext
# Get name of Enterprise Root Certificate Autority server
$Server=Get-ADObject -SearchBase $ConfigContext -Filter "*"
if ($Server.Count -eq 1) { throw "No Enterprise Root Certificate Autority server exists" }
else { $Server=$Server[1].Name }
# Get Enrollment URL
$ConfigContext="CN=$Server,"+$ConfigContext
$EnrollmentURL=(Get-ADObject -SearchBase $ConfigContext -Filter "*" -Properties "msPKI-Enrollment-Servers" | Select-Object -ExpandProperty "msPKI-Enrollment-Servers").Split("`n") | Where-Object { $_ -like "http*" }
if ($EnrollmentURL -eq $null) { $EnrollmentURL="" }
# Get AD Enrollment Policy URL
$Server=$Server+$RootDSE.configurationNamingContext.Value.Replace("CN=Configuration","").Replace(",DC=",".")
$WMI=Get-WmiObject -ComputerName $Server -Namespace "root\WebAdministration" -Class Application | Where-Object { $_.Path -eq "/ADPolicyProvider_CEP_UsernamePassword" }
if ($WMI -ne $null) { $PolicyURL="https://"+$Server+$WMI.Path+"/service.svc/CEP" }
else { $PolicyURL="" }
Write-Output "Enrollment URL = $EnrollmentURL"
Write-Output "Policy URL = $PolicyURL"

তালিকাভুক্তি নীতি

টার্গেট সার্ভারে তালিকাভুক্তি নীতি যুক্ত করুন (এটি কেবল উইন্ডোজ 2012 এবং এর চেয়ে বেশি ক্ষেত্রে কাজ করে G জিইউআই নির্দেশাবলীর জন্য নীচে দেখুন)। নন-ডোমেন টেম্পলেট তৈরি করার পরে নীতিটি যুক্ত হয়েছে তা নিশ্চিত করুন, নীতিটি রিফ্রেশ না হওয়ার কারণে এটি প্রদর্শিত হবে না।

$User="<your domain name>\<your domain user name>"
$Pass="<Your domain password>"
$SecPass=ConvertTo-SecureString -String $Pass -AsPlainText -Force
$Cred=[System.Management.Automation.PSCredential]::new($User,$SecPass)
Add-CertificateEnrollmentPolicyServer -Url $PolicyURL -context Machine -NoClobber -AutoEnrollmentEnabled -Credential $Cred

শংসাপত্র পান

আপনার এখন পছন্দসই টেম্পলেট ব্যবহার করে শংসাপত্রের জন্য তালিকাভুক্ত হওয়া উচিত

$DNS="<FQDN of your server>"
$URL=Get-CertificateEnrollmentPolicyServer -Scope All -Context Machine | Select-Object -ExpandProperty Url | Select-Object -ExpandProperty AbsoluteUri
$Enrollment=Get-Certificate -Url $URL -Template "<Template name (not display name)>" -SubjectName "CN=$DNS" -DnsName $DNS -Credential $Cred -CertStoreLocation cert:\LocalMachine\My
$Enrollment.Certificate.FriendlyName=$DNS

এনরোলমেন্ট নীতি প্রাক উইন্ডোজ 2012 আর 2

  1. শংসাপত্রগুলি এমএমসি খুলুন
  2. ব্যক্তিগত শংসাপত্রের দোকানে ড্রিল করুন
  3. "শংসাপত্রগুলি" রাইট ক্লিক করুন এবং সমস্ত টাস্ক / অ্যাডভান্সড অপারেশনস / ম্যানেজ সেল্ট করুন
  4. প্রসঙ্গ মেনু থেকে তালিকাভুক্তি নীতিসমূহ
  5. "যোগ করুন" বোতামটি ক্লিক করুন
  6. তালিকাভুক্তি নীতিমালার জন্য URL টি আটকান
  7. প্রমাণীকরণের ধরন হিসাবে ব্যবহারকারীর নাম / পাসওয়ার্ড নির্বাচন করুন
  8. "বৈধ সার্ভার" বোতামটি ক্লিক করুন এবং ডোমেন সহ আপনার ডোমেন শংসাপত্রগুলি প্রবেশ করান
  9. ধরে নিই যে আপনি সফলভাবে যাচাই করতে সক্ষম হয়েছেন, "যুক্ত করুন" বোতামটি ক্লিক করুন
  10. তালিকাভুক্তি নীতিটি নির্বাচন করুন এবং "সম্পত্তি" বোতামটি ক্লিক করুন
  11. "স্বয়ংক্রিয় তালিকাভুক্তি এবং পুনর্নবীকরণের জন্য সক্ষম" বক্সটি চেক করা আছে কিনা তা নিশ্চিত করুন
  12. আমি কখনই "তালিকাভুক্তির সময় দৃ valid় বৈধতা প্রয়োজন" যাচাই করি নি তাই এটি কী করে তা আমি জানি না

0

আমার একটি সম্পূর্ণ সমাধান নেই, তবে আমি পয়েন্ট শুরু করার পরামর্শ দিতে পারি। আমার পাওয়ারশেল পিকেআই মডিউলটিতে উইন্ডোজ / / উইন্ডোজ সার্ভার ২০০৮ আর 2 দিয়ে শুরু হয়ে এনরোলমেন্ট পরিষেবা শেষ পয়েন্টটি নিবন্ধকরণ করার ক্ষমতা রয়েছে (নোট করুন যে উইন্ডোজ সার্ভার ২০০৮ নথিভুক্তি পরিষেবাদি সমর্থন করে না)। এখানে কীভাবে নীতিমালা নিবন্ধন করা যায় তার একটি উদাহরণ: http://en-us.sysadmins.lv/Lists/Posts/Post.aspx?ID=101

তালিকাভুক্তি সম্পর্কিত। এই ব্লগ পোস্ট সিরিজটি পাওয়ারশেলে শংসাপত্রের তালিকাভুক্তি করতে কীভাবে সার্টিএনরোল সিওএম ইন্টারফেস ব্যবহার করতে হবে সে সম্পর্কে আপনাকে কিছুটা অন্তর্দৃষ্টি দিতে পারে। তালিকাভুক্ত ওয়েব পরিষেবাদি (দুর্ভাগ্যক্রমে) সম্পর্কে কিছুই নেই, তবে কৌশলগুলি একই। আপনাকে এই ইন্টারফেসটি দিয়ে শুরু করতে হবে: IX509 সার্টিফিকেটRequestPkcs10V2

আছে HTH

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.