PKI. Запутался с сертификатами

@jlevistk · Регистрация: 05.05.2011

Студворк — интернет-сервис помощи студентам

Здравствуйте! Я разворачиваю PKI и немного запутался в сертификатах. У меня в сети есть ПК с WinXP, Win2003 - для того, чтобы они могли работать с SHA2 на них ставится патч. Но работу с EC этот патч не добавляет.

Я делаю сервер с Root CA и подчиненный ему, для выдачи сертификатов.
Могу ли я сделать root сертификат с максимально затянутыми гайками на шифровании? Не возникнет ли проблем, у машин с WinXP и Win2003, когда они будут проверять цепочку сертификации и увидят сертификат root'а?

@uel · 12.01.2015, 19:30

Как раз таки возникнут. Проверка цепочки начинается именно с рутового сертификата, если к нему есть доверие, то проверка завершается. Логичнее рутовый сделать стандартным, а уж изданные им закручивать как надо.

Добавлено через 15 минут
Точнее немного не так. Проверка цепочки сертификатов начинается с рута, если он доверенный, то проверяется следующий и т.д. Если сильно завернуть гайки, например выставить sha512 и какой-нить RSA4096, то хр и 2003 просто не прочитают рута.

@jlevistk · 12.01.2015, 20:05 **[ТС]**

Ок, спасибо! Кстати xp и 2003 - поддерживают sha 512, после патча.

@uel · 12.01.2015, 20:14

Ну у тебя после патча да. А если письмецо сторонней конторе отослать, где патча нет?)))

@jlevistk · 12.01.2015, 23:50 **[ТС]**

Сообщение от uel

А если письмецо сторонней конторе отослать, где патча нет?)))

Да.. тут проблема=)

У меня вопрос уже немного не по теме. После поднятия CA - контроллеры домена резко ломанулись и получили сертификаты. Это они зачем так? Это ведь ни чем не чревато?) Я хотел все руками распихать аккуратно..

@uel · 16.01.2015, 19:31

jlevistk, они ломанулись получать сертификаты по шаблону Сервер для аутентификации и репликации, если руками, то временно часть серверов недоступна + не могут аутентефицировать компы (они ж не знают вдруг у компов уже есть, а у них еще нет))). Да и разницы руками или автоматом, результат один и тот же, что значит распихать аккуратно вообще не понял.

Добавлено через 1 час 9 минут
Более того, если посмотришь на обычные компы, то там тоже увидишь сертификат на основе шаблона workstation для тех же целей. Все сертификаты компов вместо доменных самоподписаных получают доменные c CA подписью. Насчет этих сертификатов париться не стоит. Пользователям можно выдавать как вручную, так и autoenrollment-ом, тут уж как удобнее.

@jlevistk · 16.01.2015, 21:47 **[ТС]**

Аккуратно руками - осознанно создать нужных шаблонов, с желаемыми параметрами, и дальше autoenrollment'ом =)

Добавлено через 6 минут
Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?

Сообщение от uel

они ж не знают вдруг у компов уже есть, а у них еще нет

т.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)

@uel · 17.01.2015, 11:57

Сообщение от jlevistk

Недоступна часть серверов - т.к. на одном DC - уже есть серт, а на резервном - самоподписанный?

Сообщение от jlevistk

.е. ПК - уже с сертификатами от CA, а DC с самоподписанными и тоже фигня выходит?)

Да. Компы в домене получают сертификат с помощью механизма Automatic Certificate Request, который можно отключить с помощью GPO. Сертификат прилетает во время обновления GPO или при включении ПК в домен. По дефолту для компов стоит автораспространение, дабы избежать ситуации отсутствия сертификата на части ПК и невозможности их аутентификации в домене. Если тебя не устраивает стандартный шаблон, то при создании своего шаблона (допустим сертификата компа) можно указать, какой сертификаты на основе каких шаблонов он должен подавить. Т.е. делаешь шаблон Company Workstation, в его свойствах указываешь подавлять сертификаты на основе шаблона Workstation, сертификаты обновятся.

@jlevistk · 17.01.2015, 16:50 **[ТС]**

uel,
да, про подавление я в курсе. прослушал видеокурс 6426, но там не упоминули, что DC сами прибегут за сертификатками, т.к. ставили CA на DC =) вот вопрос и возник) спасибо!)

@uel · 17.01.2015, 16:58

Ну ИМХО если СА на DC, то этот DC хватает сертификат на автомате, в локалке репликация происходит почти сразу после какого либо изменения, поэтому сразу и другие DC подтянулись.
Вообще почитай цикл статей Вадима Поданса по PKI, описывает многие вещи:
http://www.sysadmins.lv/Catego... lment.aspx

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553

	PKI. Запутался с сертификатами 11.01.2015, 21:20. Показов 1510. Ответов 9 Метки нет (Все метки) Здравствуйте! Я разворачиваю PKI и немного запутался в сертификатах. У меня в сети есть ПК с WinXP, Win2003 - для того, чтобы они могли работать с SHA2 на них ставится патч. Но работу с EC этот патч не добавляет. Я делаю сервер с Root CA и подчиненный ему, для выдачи сертификатов. Могу ли я сделать root сертификат с максимально затянутыми гайками на шифровании? Не возникнет ли проблем, у машин с WinXP и Win2003, когда они будут проверять цепочку сертификации и увидят сертификат root'а? 0

@uel 135 / 129 / 21 Регистрация: 23.05.2013 Сообщений: 514
	12.01.2015, 19:30
	Сообщение было отмечено jlevistk как решение Решение Как раз таки возникнут. Проверка цепочки начинается именно с рутового сертификата, если к нему есть доверие, то проверка завершается. Логичнее рутовый сделать стандартным, а уж изданные им закручивать как надо. Добавлено через 15 минут Точнее немного не так. Проверка цепочки сертификатов начинается с рута, если он доверенный, то проверяется следующий и т.д. Если сильно завернуть гайки, например выставить sha512 и какой-нить RSA4096, то хр и 2003 просто не прочитают рута. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	12.01.2015, 20:05 [ТС]
	Ок, спасибо! Кстати xp и 2003 - поддерживают sha 512, после патча. 0

@uel 135 / 129 / 21 Регистрация: 23.05.2013 Сообщений: 514
	12.01.2015, 20:14
	Ну у тебя после патча да. А если письмецо сторонней конторе отослать, где патча нет?))) 1

@uel 135 / 129 / 21 Регистрация: 23.05.2013 Сообщений: 514
	16.01.2015, 19:31
	jlevistk, они ломанулись получать сертификаты по шаблону Сервер для аутентификации и репликации, если руками, то временно часть серверов недоступна + не могут аутентефицировать компы (они ж не знают вдруг у компов уже есть, а у них еще нет))). Да и разницы руками или автоматом, результат один и тот же, что значит распихать аккуратно вообще не понял. Добавлено через 1 час 9 минут Более того, если посмотришь на обычные компы, то там тоже увидишь сертификат на основе шаблона workstation для тех же целей. Все сертификаты компов вместо доменных самоподписаных получают доменные c CA подписью. Насчет этих сертификатов париться не стоит. Пользователям можно выдавать как вручную, так и autoenrollment-ом, тут уж как удобнее. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	17.01.2015, 16:50 [ТС]
	uel, да, про подавление я в курсе. прослушал видеокурс 6426, но там не упоминули, что DC сами прибегут за сертификатками, т.к. ставили CA на DC =) вот вопрос и возник) спасибо!) 0

@uel 135 / 129 / 21 Регистрация: 23.05.2013 Сообщений: 514
	17.01.2015, 16:58
	Ну ИМХО если СА на DC, то этот DC хватает сертификат на автомате, в локалке репликация происходит почти сразу после какого либо изменения, поэтому сразу и другие DC подтянулись. Вообще почитай цикл статей Вадима Поданса по PKI, описывает многие вещи: http://www.sysadmins.lv/Catego... lment.aspx 1

PKI. Запутался с сертификатами

Решение