Форум программистов, компьютерный форум, киберфорум
Windows Server
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/6: Рейтинг темы: голосов - 6, средняя оценка - 4.83
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
1

PKI. Запутался с сертификатами

11.01.2015, 21:20. Просмотров 1059. Ответов 9
Метки нет (Все метки)


Здравствуйте! Я разворачиваю PKI и немного запутался в сертификатах. У меня в сети есть ПК с WinXP, Win2003 - для того, чтобы они могли работать с SHA2 на них ставится патч. Но работу с EC этот патч не добавляет.

Я делаю сервер с Root CA и подчиненный ему, для выдачи сертификатов.
Могу ли я сделать root сертификат с максимально затянутыми гайками на шифровании? Не возникнет ли проблем, у машин с WinXP и Win2003, когда они будут проверять цепочку сертификации и увидят сертификат root'а?
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
11.01.2015, 21:20
Ответы с готовыми решениями:

PKI eToken не видит цифровую подпись
На ПК c Win 7 x64 работают в интернет банках Встала необходимость добавить еще один банк Пришлось...

Работа с сертификатами
товарищи, обращаюсь к вам ибо гугл к сожалению не помог, нужна помощь в скрипте удаляющем...

Управление сертификатами
Скажите пожалуйста а то что то я совсем не помню . Для чего служат сертификаты в винде ? Где я мого...

Беда с сертификатами
Господа, такое дело, встречаем второй раз за неделю. Началось все с компа на win7. Система...

9
134 / 128 / 21
Регистрация: 23.05.2013
Сообщений: 514
12.01.2015, 19:30 2
Лучший ответ Сообщение было отмечено jlevistk как решение

Решение

Как раз таки возникнут. Проверка цепочки начинается именно с рутового сертификата, если к нему есть доверие, то проверка завершается. Логичнее рутовый сделать стандартным, а уж изданные им закручивать как надо.

Добавлено через 15 минут
Точнее немного не так. Проверка цепочки сертификатов начинается с рута, если он доверенный, то проверяется следующий и т.д. Если сильно завернуть гайки, например выставить sha512 и какой-нить RSA4096, то хр и 2003 просто не прочитают рута.
1
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
12.01.2015, 20:05  [ТС] 3
Ок, спасибо! Кстати xp и 2003 - поддерживают sha 512, после патча.
0
134 / 128 / 21
Регистрация: 23.05.2013
Сообщений: 514
12.01.2015, 20:14 4
Ну у тебя после патча да. А если письмецо сторонней конторе отослать, где патча нет?)))
1
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
12.01.2015, 23:50  [ТС] 5
Цитата Сообщение от uel Посмотреть сообщение
А если письмецо сторонней конторе отослать, где патча нет?)))
Да.. тут проблема=)

У меня вопрос уже немного не по теме. После поднятия CA - контроллеры домена резко ломанулись и получили сертификаты. Это они зачем так? Это ведь ни чем не чревато?) Я хотел все руками распихать аккуратно..
0
134 / 128 / 21
Регистрация: 23.05.2013
Сообщений: 514
16.01.2015, 19:31 6
jlevistk, они ломанулись получать сертификаты по шаблону Сервер для аутентификации и репликации, если руками, то временно часть серверов недоступна + не могут аутентефицировать компы (они ж не знают вдруг у компов уже есть, а у них еще нет))). Да и разницы руками или автоматом, результат один и тот же, что значит распихать аккуратно вообще не понял.

Добавлено через 1 час 9 минут
Более того, если посмотришь на обычные компы, то там тоже увидишь сертификат на основе шаблона workstation для тех же целей. Все сертификаты компов вместо доменных самоподписаных получают доменные c CA подписью. Насчет этих сертификатов париться не стоит. Пользователям можно выдавать как вручную, так и autoenrollment-ом, тут уж как удобнее.
1
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
16.01.2015, 21:47  [ТС] 7
Аккуратно руками - осознанно создать нужных шаблонов, с желаемыми параметрами, и дальше autoenrollment'ом =)

Добавлено через 6 минут
Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?
Цитата Сообщение от uel Посмотреть сообщение
они ж не знают вдруг у компов уже есть, а у них еще нет
т.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)
0
134 / 128 / 21
Регистрация: 23.05.2013
Сообщений: 514
17.01.2015, 11:57 8
Цитата Сообщение от jlevistk Посмотреть сообщение
Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?
Цитата Сообщение от jlevistk Посмотреть сообщение
.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)
Да. Компы в домене получают сертификат с помощью механизма Automatic Certificate Request, который можно отключить с помощью GPO. Сертификат прилетает во время обновления GPO или при включении ПК в домен. По дефолту для компов стоит автораспространение, дабы избежать ситуации отсутствия сертификата на части ПК и невозможности их аутентификации в домене. Если тебя не устраивает стандартный шаблон, то при создании своего шаблона (допустим сертификата компа) можно указать, какой сертификаты на основе каких шаблонов он должен подавить. Т.е. делаешь шаблон Company Workstation, в его свойствах указываешь подавлять сертификаты на основе шаблона Workstation, сертификаты обновятся.
1
237 / 232 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
17.01.2015, 16:50  [ТС] 9
uel,
да, про подавление я в курсе. прослушал видеокурс 6426, но там не упоминули, что DC сами прибегут за сертификатками, т.к. ставили CA на DC =) вот вопрос и возник) спасибо!)
0
134 / 128 / 21
Регистрация: 23.05.2013
Сообщений: 514
17.01.2015, 16:58 10
Ну ИМХО если СА на DC, то этот DC хватает сертификат на автомате, в локалке репликация происходит почти сразу после какого либо изменения, поэтому сразу и другие DC подтянулись.
Вообще почитай цикл статей Вадима Поданса по PKI, описывает многие вещи:
http://www.sysadmins.lv/Catego... lment.aspx
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
17.01.2015, 16:58

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Розница: Оплата подарочными сертификатами
При попытке провести чек ККМ вылетает сообщение "Номер подарочного сертификата: Сертификат 500...

Электронная подпись+работа с сертификатами
Здравствуйте!дали задание,саму суть понял,не могу разобраться,как начать писать программу.помогите...

Нужно написать программу для работы с сертификатами
Нужно разработать программу с web-интерфейсом, которая хранит, информацию о сертификатах, при чем...

В Опере назойливо открываются рекламные вкладки и ошибки с сертификатами
Постоянно открываются окна с переадресацией на сторонние сайты с рекламой и появляются окна с...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.