Форум программистов, компьютерный форум, киберфорум
Наши страницы

Windows Server

Войти
Регистрация
Восстановить пароль
 
jlevistk
236 / 231 / 7
Регистрация: 05.05.2011
Сообщений: 1,549
#1

PKI. Запутался с сертификатами - Windows Server

11.01.2015, 21:20. Просмотров 370. Ответов 9
Метки нет (Все метки)

Здравствуйте! Я разворачиваю PKI и немного запутался в сертификатах. У меня в сети есть ПК с WinXP, Win2003 - для того, чтобы они могли работать с SHA2 на них ставится патч. Но работу с EC этот патч не добавляет.

Я делаю сервер с Root CA и подчиненный ему, для выдачи сертификатов.
Могу ли я сделать root сертификат с максимально затянутыми гайками на шифровании? Не возникнет ли проблем, у машин с WinXP и Win2003, когда они будут проверять цепочку сертификации и увидят сертификат root'а?
0
Лучшие ответы (1)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
11.01.2015, 21:20
Здравствуйте! Я подобрал для вас темы с ответами на вопрос PKI. Запутался с сертификатами (Windows Server):

Запутался в лицензиях! - Windows Server
Помогите разобраться в следующей ситуации: имеется 12 средних машин с windows xp sp3 на борту, все лицензионные (лицензии взяли в этом...

Управление сертификатами - Windows 7
Скажите пожалуйста а то что то я совсем не помню . Для чего служат сертификаты в винде ? Где я мого про них почитать в инете ищу и не могу...

Работа с сертификатами - CMD/BAT
товарищи, обращаюсь к вам ибо гугл к сожалению не помог, нужна помощь в скрипте удаляющем доверительный корневой сертификат и и сертификат...

Электронная подпись+работа с сертификатами - C++
Здравствуйте!дали задание,саму суть понял,не могу разобраться,как начать писать программу.помогите кто чем может. Вот само задание: ...

1C 8.x Розница: Оплата подарочными сертификатами - 1С
При попытке провести чек ККМ вылетает сообщение "Номер подарочного сертификата: Сертификат 500 4627114166796 закончился срок действия -...

Нужно написать программу для работы с сертификатами - PHP БД
Нужно разработать программу с web-интерфейсом, которая хранит, информацию о сертификатах, при чем информация о сертификатах на каждого...

9
uel
106 / 106 / 14
Регистрация: 23.05.2013
Сообщений: 430
12.01.2015, 19:30 #2
Лучший ответ Сообщение было отмечено автором темы, экспертом или модератором как ответ
Как раз таки возникнут. Проверка цепочки начинается именно с рутового сертификата, если к нему есть доверие, то проверка завершается. Логичнее рутовый сделать стандартным, а уж изданные им закручивать как надо.

Добавлено через 15 минут
Точнее немного не так. Проверка цепочки сертификатов начинается с рута, если он доверенный, то проверяется следующий и т.д. Если сильно завернуть гайки, например выставить sha512 и какой-нить RSA4096, то хр и 2003 просто не прочитают рута.
1
jlevistk
236 / 231 / 7
Регистрация: 05.05.2011
Сообщений: 1,549
12.01.2015, 20:05  [ТС] #3
Ок, спасибо! Кстати xp и 2003 - поддерживают sha 512, после патча.
0
uel
106 / 106 / 14
Регистрация: 23.05.2013
Сообщений: 430
12.01.2015, 20:14 #4
Ну у тебя после патча да. А если письмецо сторонней конторе отослать, где патча нет?)))
1
jlevistk
236 / 231 / 7
Регистрация: 05.05.2011
Сообщений: 1,549
12.01.2015, 23:50  [ТС] #5
Цитата Сообщение от uel Посмотреть сообщение
А если письмецо сторонней конторе отослать, где патча нет?)))
Да.. тут проблема=)

У меня вопрос уже немного не по теме. После поднятия CA - контроллеры домена резко ломанулись и получили сертификаты. Это они зачем так? Это ведь ни чем не чревато?) Я хотел все руками распихать аккуратно..
0
uel
106 / 106 / 14
Регистрация: 23.05.2013
Сообщений: 430
16.01.2015, 19:31 #6
jlevistk, они ломанулись получать сертификаты по шаблону Сервер для аутентификации и репликации, если руками, то временно часть серверов недоступна + не могут аутентефицировать компы (они ж не знают вдруг у компов уже есть, а у них еще нет))). Да и разницы руками или автоматом, результат один и тот же, что значит распихать аккуратно вообще не понял.

Добавлено через 1 час 9 минут
Более того, если посмотришь на обычные компы, то там тоже увидишь сертификат на основе шаблона workstation для тех же целей. Все сертификаты компов вместо доменных самоподписаных получают доменные c CA подписью. Насчет этих сертификатов париться не стоит. Пользователям можно выдавать как вручную, так и autoenrollment-ом, тут уж как удобнее.
1
jlevistk
236 / 231 / 7
Регистрация: 05.05.2011
Сообщений: 1,549
16.01.2015, 21:47  [ТС] #7
Аккуратно руками - осознанно создать нужных шаблонов, с желаемыми параметрами, и дальше autoenrollment'ом =)

Добавлено через 6 минут
Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?
Цитата Сообщение от uel Посмотреть сообщение
они ж не знают вдруг у компов уже есть, а у них еще нет
т.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)
0
uel
106 / 106 / 14
Регистрация: 23.05.2013
Сообщений: 430
17.01.2015, 11:57 #8
Цитата Сообщение от jlevistk Посмотреть сообщение
Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?
Цитата Сообщение от jlevistk Посмотреть сообщение
.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)
Да. Компы в домене получают сертификат с помощью механизма Automatic Certificate Request, который можно отключить с помощью GPO. Сертификат прилетает во время обновления GPO или при включении ПК в домен. По дефолту для компов стоит автораспространение, дабы избежать ситуации отсутствия сертификата на части ПК и невозможности их аутентификации в домене. Если тебя не устраивает стандартный шаблон, то при создании своего шаблона (допустим сертификата компа) можно указать, какой сертификаты на основе каких шаблонов он должен подавить. Т.е. делаешь шаблон Company Workstation, в его свойствах указываешь подавлять сертификаты на основе шаблона Workstation, сертификаты обновятся.
1
jlevistk
236 / 231 / 7
Регистрация: 05.05.2011
Сообщений: 1,549
17.01.2015, 16:50  [ТС] #9
uel,
да, про подавление я в курсе. прослушал видеокурс 6426, но там не упоминули, что DC сами прибегут за сертификатками, т.к. ставили CA на DC =) вот вопрос и возник) спасибо!)
0
uel
106 / 106 / 14
Регистрация: 23.05.2013
Сообщений: 430
17.01.2015, 16:58 #10
Ну ИМХО если СА на DC, то этот DC хватает сертификат на автомате, в локалке репликация происходит почти сразу после какого либо изменения, поэтому сразу и другие DC подтянулись.
Вообще почитай цикл статей Вадима Поданса по PKI, описывает многие вещи:
http://www.sysadmins.lv/CategoryView...nrollment.aspx
1
17.01.2015, 16:58
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
17.01.2015, 16:58
Привет! Вот еще темы с ответами:

В Опере назойливо открываются рекламные вкладки и ошибки с сертификатами - Удаление вирусов
Постоянно открываются окна с переадресацией на сторонние сайты с рекламой и появляются окна с проблемами сертификатов даже с включенным...

запутался - JavaScript
Ребят я очень долго играю в онлайн игру. Успешно пользовался ботом. Но на него зделали цену и я решил его украсть. Запуск проходит с...

IF ELSE-запутался - Delphi
Здравствуйте! При нажатии кнопки Buttun если в Edit ввели 4 то действие 1, если неравно 4 то действие 2. А если в Edit ничего не...

запутался - C#
Дали задание написать программу. вот формула c*(b-a)+ (f/2)*(b^2-a^2)-(g/3)*(b^3-a^3). По нажатии кнопки ответ. как написать ответ? вот...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.