Nasazení certifikační autority (AD CS)

Certifikační autorita (CA) umožňuje vydávat, zneplatňovat a spravovat certifikáty v rámci prostředí Active Directory. Pokud plánuješ autoenrollment, šifrování, ověřování pomocí certifikátu nebo vlastní PKI, začíná se právě tady.

Požadavky

  • Člen domény s Windows Server (např. 2019 nebo 2022)
  • Admin oprávnění (Domain Admin nebo Enterprise Admin)
  • DNS správně nakonfigurovaný v síti
  • Doporučeno: vlastní statická IP, zapsané jméno v DNS

1. Instalace role AD CS

Spusť PowerShell jako administrátor:

Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Alternativa: Server Manager → Add roles and features → Active Directory Certificate Services → role „Certification Authority“

2. Konfigurace certifikační autority

Po instalaci spusť konfiguraci role:

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" -KeyLength 2048 -HashAlgorithmName SHA256 -ValidityPeriod Years -ValidityPeriodUnits 5 -Force

Pokud chceš GUI: Server Manager → Post-deployment configuration → Configure Active Directory Certificate Services

Základní volby:

  • CA type: Enterprise CA (integrovaná s AD)
  • Role: Root CA (většinou stačí)
  • Key length: 2048 bitů (minimum), doporučeno 4096 bitů v zabezpečených prostředích
  • Platnost certifikátu CA: 5–10 let (podle bezpečnostní politiky)

3. Ověření funkčnosti

Po dokončení:

  • Služba CertSvc by měla být spuštěná
  • Konzole certifikační autority: certsrv.msc
  • V logu Event Viewer zkontroluj chyby pod „AD CS“

4. Volitelné: publikace CRL a AIA

V prostředí bez internetu nastav CRL a AIA distribuci přes interní cestu:

  • Např. http://ca.firma.local/CertEnroll/
  • Nebo souborově: \\ca-server\CertEnroll

Nastavení v konzoli CA → pravý klik → Properties → Extensions

5. Přidání šablon

  • certsrv.msc → Certificate Templates → klik pravým → Manage
  • Aktivuj šablony: Computer, User, případně vlastní
  • Přidej práva Autoenroll pro Domain Computers nebo Domain Users

6. Využití CA

Po nasazení můžeš:

  • Aktivovat autoenrollment certifikátů přes GPO
  • Nasadit 802.1X Wi-Fi/RADIUS na základě certifikátů
  • Používat S/MIME nebo šifrování EFS
  • Vystavovat certifikáty pro servery (IIS, VPN, NPS…)

Automatické nasazení certifikátů pro počítače a uživatele v doméně

Chceš, aby zařízení a uživatelé v doméně automaticky získali certifikáty pro účely jako:

  • autentizace (např. 802.1X, VPN, RDP),
  • šifrování (např. EFS, S/MIME),
  • nebo obecná PKI infrastruktura?

Stačí správně nastavit šablony a GPO. Certifikáty se pak vystaví automaticky přes službu autoenrollment.

Požadavky

  • Certifikační autorita (Enterprise CA) nainstalovaná a funkční
  • AD forest funkční úrovně 2008 nebo vyšší
  • GPO editor a přístup k nastavení doménových politik
  • Uživatelé a počítače musí mít přístup k CA (síť, oprávnění)

1. Aktivace šablon v CA konzoli

  1. Na CA serveru spusť certsrv.msc
  2. Pravým klikem na „Certificate Templates“ → Manage
  3. Vyhledej a povol:
    • Computer (pro zařízení)
    • User (pro uživatele)
  4. Pravý klik → Duplicate Template (volitelné – např. kvůli delší platnosti nebo názvu)
  5. U nové šablony nastav:
    • Security záložku:
      • Přidat Domain Computers s Read + Enroll + Autoenroll
      • Přidat Domain Users podle potřeby
  6. Zavřít, pak v „Certificate Templates“ (na CA) kliknout pravým → New → Certificate Template to Issue → vyber šablonu

2. Nastavení autoenrollment pomocí GPO

  1. Otevři Group Policy Management Console (GPMC)
  2. Vytvoř novou GPO nebo uprav stávající, např. „Cert Enrollment Policy“
  3. V GPO nastav:

Pro počítače:

Computer Configuration →
Policies →
Windows Settings →
Security Settings →
Public Key Policies →
Certificate Services Client - Auto-Enrollment
  • Zapnout: „Configuration Model: Enabled“
  • Zaškrtnout:
    • Renew expired certificates
    • Update certificates that use certificate templates
    • Enroll certificates automatically

Pro uživatele (volitelné):

Stejná cesta, ale pod User Configuration

3. Vynucení GPO a test

Na klientském počítači:

gpupdate /force

A poté:

certutil -pulse

Zkontroluj certifikáty ve:

  • certmgr.msc (pro uživatele)
  • mmc → cert snap-in → Computer account (pro počítač)

Ověření

  • Certifikát se zobrazí v osobním úložišti
  • Vystavitel je tvoje interní CA
  • Certifikát odpovídá šabloně (např. „Computer“, „User“)

Poznámky

  • Pokud certifikát chybí, ověř přístup k CA, práva na šablonu a aplikaci GPO
  • Autoenrollment běží periodicky nebo při certutil -pulse
  • Pro Windows Hello, RADIUS nebo VPN může být potřeba jiná vlastní šablona

Jak rychle zjistit Distinguished Name OU

Vyhledání OU podle názvu pomocí PowerShellu

Chceš rychle zjistit DN (Distinguished Name) organizační jednotky v AD, například při nastavování GPO nebo delegování práv? Níže uvedený PowerShell příkaz ti vrátí jméno a DN všech OU, jejichž název obsahuje řetězec pol_dev.

Příkaz:

Get-ADOrganizationalUnit -Filter 'Name -like "NazevOU"' | Format-Table Name, DistinguishedName -AutoSize

Co dělá:

  • Get-ADOrganizationalUnit – získá seznam všech OU
  • -Filter 'Name -like "NazevOU"' – vyfiltruje pouze ty, kde název obsahuje „pol_dev“
  • Format-Table Name, DistinguishedName -AutoSize – vypíše výstup jako přehlednou tabulku s názvem OU a jejím DN

Filtr můžeš upravit podle potřeby:

-Filter 'Name -like "*dev*"'

Můžeš přidat i další vlastnosti, např. ObjectClass, CanonicalName apod.

Pokud dostaneš chybu „cmdlet not recognized“, zkontroluj, že máš nainstalovaný modul ActiveDirectory a že jsi v kontextu člena domény (Alespoň domain user).

Inicializace synchronizace řadičů v doméně

Pokud děláte změny na jednom z doménových řadičů a potřebujete změny rychle forcnout na další (např. kvůli AD connectu)
Může se hodit následující příkaz (stačí v cmd nebo v spustit):

repadmin /syncall /AdeP

Co znamenají přepínače:

  • /A – všechny adresáře (naming contexty)
  • /d – zobrazení podrobností (detailed output)
  • /e – synchronizace i přes všechny připojené DC (enterprise)
  • /P – vynucená synchronizace (Push)

Alternativa pro ruční výběr konkrétního DC:

repadmin /syncall DC01 /AdeP

(kde DC01 je název konkrétního doménového řadiče)

Chceš-li spustit synchronizaci i z jiných DC zpětně, můžeš použít /f pro obousměrné replikace:

repadmin /syncall /AedPf

Propojení AD s MS Entra

Připojení Active Directory k Entra ID (Azure AD) pomocí Entra Connect

Požadavky

  • Lokální AD doména funkční (např. firma.local)
  • Globální administrátor v Entra ID / Microsoft 365
  • Ověřená veřejná doména (firma.cz)
  • Windows Server (doporučená verze 2016+)
  • Síťové připojení do internetu

1. Instalace Entra Connect

  • Stáhnout Microsoft Entra Connect:
    https://www.microsoft.com/en-us/download/details.aspx?id=47594
  • Spustit instalátor na serveru (člen domény nebo připojený k doméně).
  • Při instalaci:
    • Express mode – vhodné pro 1 doménu, bez úprav
    • Custom mode – pokud je potřeba filtrovat OU, nastavit Seamless SSO, pass-through auth, atd.

2. Přihlášení a propojení

  • Přihlásit se globálním admin účtem z Microsoft 365.
  • Zadání doménového účtu s oprávněním číst Active Directory.

3. Výběr režimu synchronizace

  • Password Hash Sync – doporučený výchozí režim
  • Pass-through Authentication – pokud musí jít ověření vždy přes lokální AD
  • Seamless SSO – volitelné, přihlašování bez zadávání hesla v interní síti

4. Spuštění synchronizace

Po dokončení instalace se synchronizace spustí automaticky.

Ruční spuštění:

powershellZkopírovatUpravitStart-ADSyncSyncCycle -PolicyType Delta

Stav replikace:

powershellZkopírovatUpravitGet-ADSyncScheduler

5. Ověření

  • Portál Entra ID (https://entra.microsoft.com) → Users → All users
  • Měli by se zobrazit synchronizovaní uživatelé z AD
  • V UPN každého uživatele by měla být veřejná doména (@firma.cz), ne @firma.local

Poznámky

  • Výchozí interval replikace je 30 minut
  • Synchronizace hesel je jednosměrná (AD → Entra)
  • Pokud má být nakonfigurován Hybrid Join (např. kvůli přístupu k file serverům, GPO atd.), je potřeba doplnit ještě registraci zařízení + device writeback (ne u všech SKU dostupné)
  • V prostředích s více foresty/tenanty – použít custom instalaci a pečlivě plánovat scope a filtering

Co se synchronizuje při „Express“ instalaci:

  • Všechny uživatelé a skupiny z celého AD forestu
  • Všechna OU (Organizational Units)
  • Hesla (ve formě hashů), pokud zvolíš Password Hash Sync
  • Všechna zařízení, pokud není sync device objekty výslovně vypnutý

Pokud chceš filtrovat:

Použij Custom mode při instalaci nebo konfiguraci. Tady máš možnosti filtrování:

1. OU Filtering

Vybereš jen konkrétní organizační jednotky, které se mají synchronizovat.

2. Attribute-based filtering

Např. jen objekty, které mají extensionAttribute15 = SyncToAAD.

3. Domain-based filtering

Pokud máš více domén v forestu, můžeš zvolit jen konkrétní.

4. Group-based filtering (nedoporučeno pro produkční nasazení)

Dá se zapnout, ale není škálovatelný pro velká prostředí.

Změna nastavení po instalaci:

Můžeš spustit průvodce znovu:

"Azure AD Connect" → Configure → Customize synchronization options