Форум программистов, компьютерный форум, киберфорум
Наши страницы
Windows Server
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/5: Рейтинг темы: голосов - 5, средняя оценка - 4.80
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
#1

PKI. Запутался с сертификатами

11.01.2015, 21:20. Просмотров 886. Ответов 9
Метки нет (Все метки)

Здравствуйте! Я разворачиваю PKI и немного запутался в сертификатах. У меня в сети есть ПК с WinXP, Win2003 - для того, чтобы они могли работать с SHA2 на них ставится патч. Но работу с EC этот патч не добавляет.

Я делаю сервер с Root CA и подчиненный ему, для выдачи сертификатов.
Могу ли я сделать root сертификат с максимально затянутыми гайками на шифровании? Не возникнет ли проблем, у машин с WinXP и Win2003, когда они будут проверять цепочку сертификации и увидят сертификат root'а?

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

0
Лучшие ответы (1)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
11.01.2015, 21:20
Ответы с готовыми решениями:

Запутался в лицензиях!
Помогите разобраться в следующей ситуации: имеется 12 средних машин с windows...

Работа с сертификатами
товарищи, обращаюсь к вам ибо гугл к сожалению не помог, нужна помощь в скрипте...

Управление сертификатами
Скажите пожалуйста а то что то я совсем не помню . Для чего служат сертификаты...

Беда с сертификатами
Господа, такое дело, встречаем второй раз за неделю. Началось все с компа на...

Розница: Оплата подарочными сертификатами
При попытке провести чек ККМ вылетает сообщение "Номер подарочного сертификата:...

9
uel
108 / 108 / 15
Регистрация: 23.05.2013
Сообщений: 432
12.01.2015, 19:30 #2
Лучший ответ Сообщение было отмечено jlevistk как решение

Решение

Как раз таки возникнут. Проверка цепочки начинается именно с рутового сертификата, если к нему есть доверие, то проверка завершается. Логичнее рутовый сделать стандартным, а уж изданные им закручивать как надо.

Добавлено через 15 минут
Точнее немного не так. Проверка цепочки сертификатов начинается с рута, если он доверенный, то проверяется следующий и т.д. Если сильно завернуть гайки, например выставить sha512 и какой-нить RSA4096, то хр и 2003 просто не прочитают рута.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
12.01.2015, 20:05  [ТС] #3
Ок, спасибо! Кстати xp и 2003 - поддерживают sha 512, после патча.
0
uel
108 / 108 / 15
Регистрация: 23.05.2013
Сообщений: 432
12.01.2015, 20:14 #4
Ну у тебя после патча да. А если письмецо сторонней конторе отослать, где патча нет?)))
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
12.01.2015, 23:50  [ТС] #5
Цитата Сообщение от uel Посмотреть сообщение
А если письмецо сторонней конторе отослать, где патча нет?)))
Да.. тут проблема=)

У меня вопрос уже немного не по теме. После поднятия CA - контроллеры домена резко ломанулись и получили сертификаты. Это они зачем так? Это ведь ни чем не чревато?) Я хотел все руками распихать аккуратно..
0
uel
108 / 108 / 15
Регистрация: 23.05.2013
Сообщений: 432
16.01.2015, 19:31 #6
jlevistk, они ломанулись получать сертификаты по шаблону Сервер для аутентификации и репликации, если руками, то временно часть серверов недоступна + не могут аутентефицировать компы (они ж не знают вдруг у компов уже есть, а у них еще нет))). Да и разницы руками или автоматом, результат один и тот же, что значит распихать аккуратно вообще не понял.

Добавлено через 1 час 9 минут
Более того, если посмотришь на обычные компы, то там тоже увидишь сертификат на основе шаблона workstation для тех же целей. Все сертификаты компов вместо доменных самоподписаных получают доменные c CA подписью. Насчет этих сертификатов париться не стоит. Пользователям можно выдавать как вручную, так и autoenrollment-ом, тут уж как удобнее.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
16.01.2015, 21:47  [ТС] #7
Аккуратно руками - осознанно создать нужных шаблонов, с желаемыми параметрами, и дальше autoenrollment'ом =)

Добавлено через 6 минут
Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?
Цитата Сообщение от uel Посмотреть сообщение
они ж не знают вдруг у компов уже есть, а у них еще нет
т.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)
0
uel
108 / 108 / 15
Регистрация: 23.05.2013
Сообщений: 432
17.01.2015, 11:57 #8
Цитата Сообщение от jlevistk Посмотреть сообщение
Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?
Цитата Сообщение от jlevistk Посмотреть сообщение
.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)
Да. Компы в домене получают сертификат с помощью механизма Automatic Certificate Request, который можно отключить с помощью GPO. Сертификат прилетает во время обновления GPO или при включении ПК в домен. По дефолту для компов стоит автораспространение, дабы избежать ситуации отсутствия сертификата на части ПК и невозможности их аутентификации в домене. Если тебя не устраивает стандартный шаблон, то при создании своего шаблона (допустим сертификата компа) можно указать, какой сертификаты на основе каких шаблонов он должен подавить. Т.е. делаешь шаблон Company Workstation, в его свойствах указываешь подавлять сертификаты на основе шаблона Workstation, сертификаты обновятся.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
17.01.2015, 16:50  [ТС] #9
uel,
да, про подавление я в курсе. прослушал видеокурс 6426, но там не упоминули, что DC сами прибегут за сертификатками, т.к. ставили CA на DC =) вот вопрос и возник) спасибо!)
0
uel
108 / 108 / 15
Регистрация: 23.05.2013
Сообщений: 432
17.01.2015, 16:58 #10
Ну ИМХО если СА на DC, то этот DC хватает сертификат на автомате, в локалке репликация происходит почти сразу после какого либо изменения, поэтому сразу и другие DC подтянулись.
Вообще почитай цикл статей Вадима Поданса по PKI, описывает многие вещи:
http://www.sysadmins.lv/CategoryView...nrollment.aspx
1
17.01.2015, 16:58
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
17.01.2015, 16:58

Электронная подпись+работа с сертификатами
Здравствуйте!дали задание,саму суть понял,не могу разобраться,как начать писать...

Нужно написать программу для работы с сертификатами
Нужно разработать программу с web-интерфейсом, которая хранит, информацию о...

В Опере назойливо открываются рекламные вкладки и ошибки с сертификатами
Постоянно открываются окна с переадресацией на сторонние сайты с рекламой и...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru