Você pode criar e implantar uma lista confiável de certificados conforme detalhadoaqui, mas estou tentando entender as vantagens disso em relação à implantação de certificados raiz e intermediários com política de grupo da maneira normal. Por que eu iria querer\precisar fazer isso?
Responder1
Uma Enterprise Certificate Trust List (CTL) oferece mais granularidade e controle sobre exatamente quais tipos de certificados e para quais finalidades esses certificados podem ser confiáveis. A simples distribuição de certificados por meio da Política de Grupo não oferece muito controle sobre exatamente como e sob quais circunstâncias esses certificados são confiáveis para seus clientes.
Uma lista de certificados confiáveis (CTL) permite controlar a confiança da finalidade e do período de validade dos certificados emitidos por autoridades de certificação (CAs) externas.
Normalmente, uma autoridade de certificação pode emitir certificados para uma ampla variedade de finalidades, como e-mail seguro ou autenticação de cliente. Mas pode haver situações em que você queira limitar a confiança dos certificados emitidos por uma autoridade de certificação específica, especialmente se a CA estiver fora da sua organização. Nessas situações, criar uma CTL e usá-la por meio da Política de Grupo pode ser útil.
Suponha, por exemplo, que uma autoridade de certificação chamada “Minha CA” seja capaz de emitir certificados para autenticação de servidor, autenticação de cliente, assinatura de código e e-mail seguro. No entanto, você deseja confiar apenas nos certificados emitidos pela My CA para fins de autenticação do cliente. Você pode criar uma CTL e limitar a finalidade para a qual você confia nos certificados emitidos pela My CA para que sejam válidos apenas para autenticação do cliente. Quaisquer certificados emitidos para outra finalidade pela My CA não são aceitos para uso por qualquer computador ou usuário no escopo do objeto de Política de Grupo (GPO) ao qual a CTL é aplicada.
Pode haver vários CTLs em uma organização. Como os usos e confianças de certificados para domínios ou unidades organizacionais específicos podem ser diferentes, você pode criar CTLs separadas para refletir esses usos e atribuir CTLs específicas a GPOs específicos.
Através do uso da Política de Grupo em sua organização, você tem a opção de designar confiança em CAs usando a política de autoridade de certificação raiz confiável ou a política de confiança corporativa (CTLs). Use as seguintes diretrizes para determinar qual política usar: • Se sua organização tiver suas próprias CAs raiz e usar o Active Directory, você não precisará usar o mecanismo de Política de Grupo para distribuir esses certificados raiz.
• Se a sua organização tiver suas próprias CAs raiz que não estão instaladas nos servidores, você deverá usar a política de autoridade de certificação raiz confiável para distribuir os certificados raiz da sua organização. Para obter mais informações, consulte Política de autoridade de certificação raiz confiável.
• Se a sua organização não tiver suas próprias CAs, use a política de confiança corporativa para criar CTLs para estabelecer a confiança da sua organização em CAs raiz externas. Para obter mais informações, consulte Usando a política de confiança corporativa.