nekto Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Нарыл довольно подробную инструкцию от M$ (http://www.eu.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx), но хотелось бы почерпнуть информации из нескольких источников.   В частности интересует равертывание PKI в домене с несколькими дочерними доменами. Может кто поделится своим опытом? Всего записей: 45 | Зарегистр. 15-10-2003 | Отправлено: 19:09 09-02-2005

nekto Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Неужели никто не занимался этой темой?   Или всё настолько просто что и вопросов не возникало? Всего записей: 45 | Зарегистр. 15-10-2003 | Отправлено: 14:31 10-02-2005

ctolnik Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всё вообщем довольно просто, зависит от того какую структуру ты спланирорвал. Если есть какие вопросы пиши. Всего записей: 460 | Зарегистр. 25-10-2001 | Отправлено: 18:02 10-02-2005

nekto Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Хотелось бы соорудить структуру, похожую на описанную в статье M$, а именно: в самом верху иерархии Stand-alone offline root CA (self-signed), ниже Enterprise Root CA, находящийся в корневом домене xxx.local, и в самом низу, в каждом дочернем домене по  Subordinate Enterprise CA, которые собственно и раздают сертификаты юзерам и их компам и проверяют их легитимность. Немогу разобраться в том как сделать чтобы CRL и AIA для каждого домена были на соответствующем Subordinate Enterprise CA, чтобы юзеры не ходили проверять сертификаты на Enterprise Root CA (и уж тем более на Stand-alone offline root CA).   Это необходимо поскольку домены находятся географически довольно далеко друг от друга, и бывают обрывы связи, да и скорость конечно не та чтобы ограничиться одним CA. Всего записей: 45 | Зарегистр. 15-10-2003 | Отправлено: 11:43 11-02-2005

Lamerok Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору nekto объясни мне зачем так сложно? Тебе чего именно нужно от PKI? IP sec?   Лично я бы сделал один enterprise (root) и его клЮчом подписал дочерние. ---------- Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯ Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 13:30 11-02-2005

nekto Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Основное применение это ЭЦП, IPSec может быть в будущем (пока обходимся preshared key)   Как сделать чтобы серификаты выдавали именно Subordinate CA в каждом домене? Я однажды разворачивал CA и получилось что за сертификатами клиенты лезли на Root.   Именно по этой причине я и взялся всё усложнить, потому что в той статье описано как сделать всё по уму, но я видимо переоценил свои силы (либо просто лень читать этот талмуд и выискивать в нем полезную информацию) Всего записей: 45 | Зарегистр. 15-10-2003 | Отправлено: 16:22 11-02-2005 | Исправлено: nekto, 16:34 11-02-2005

nekto Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не стал заморачиваться со схемой предложенной M$ и поставил обычную: в домене xxx.local - Enterprise Root CA,  в дочерних доменах по одному Enterprise Subordinate CA. Сертификаты выдаются как через консоль mmc, так и через web, тут проблем не возникло. Но при подключении сертификата в Outlook (для использования цифровой подписи) возникает проблема с шифрованием. Подписанные письма уходят без проблем, а вот при попытке зашифровать получаем сообщение о невозможности зашифровать. Почему? Что еще нужно сделать? Всего записей: 45 | Зарегистр. 15-10-2003 | Отправлено: 15:26 17-02-2005

ctolnik Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 nekto всё очень просто для шифрации нужно видетьоткрытый ключ получателя. Для это в адресной книге в свойствах онтакта должен быть забит сертификат. Или нажимать ответ при приходе подписаннгого сообщения. Если почтарь exchange то намного проще при публикации сертификатов в Active Directory. Кстати чго не получилось с той схемой в которой ты описал в самом начале? Я именно так у себя и реализовал. Всего записей: 460 | Зарегистр. 25-10-2001 | Отправлено: 16:32 17-02-2005

nekto Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сертификаты опубликованы в AD (через ADUC это видно), а каким образом их опубликовать в глобальной адресной книге?   Я уже успел снести центры сертификации и поднять их заново, так вот в самом начале при ответе на подписанное сообщение можно было отправить шифрованное, а теперь даже так не работает   Что касается схемы, то там стало непонятно какие значения CDP и AIA нужно использовать при настройке первичного рута. А ты вообще один в один схему соорудил той что описана в статье? Именно такую? http://www.eu.microsoft.com/technet/images/prodtechnol/windowsserver2003/technologies/security/images/ws3pki05_big.gif   Добавлено: Похоже разобрался с глобальной адресной книгой. Она у меня обновляется раз в сутки. Стоило обновить ее вручную и обновить в аутлуке как всё заработало. Спасибо за помощь Всего записей: 45 | Зарегистр. 15-10-2003 | Отправлено: 17:03 17-02-2005

nekto Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Возник попутный вопрос: какие шаблоны сертификатов нужно оставить на Root CA? Достаточно ли оставить только шаблон Subordinate CA? Всего записей: 45 | Зарегистр. 15-10-2003 | Отправлено: 10:20 18-02-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору hi all подскажите, как вызвать окно (толи mmc толи ещё что) отображающее общие сведения о Certificate Authority в организации - какие стоят (на каких серваках), какие рут серт испл и т.д. Вобщем то что можно просмотреть счерез АД (site and servises -> services node - PKI infr) только в графическом виде... Забыл блин как это окно вызвать ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:49 10-11-2007

fsv2k5 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Управление сертификатами Всего записей: 1050 | Зарегистр. 30-04-2005 | Отправлено: 14:19 11-11-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fsv2k5 это мне линк? там вроде то что мне надо ставится вместе в Certificate Authority, а не отдельный продукт но всё равно спасибо за участие ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 23:43 11-11-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос ещё вырос - новая группа добавленая с выходом win 2003 sp1 - CERTSVC_DCOM_ACCESS не может быть найдена (CA стоит на DC в роли Ent CA соот-но). Что делали с доменом ранее сказать не могу... Что делать? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 20:31 11-12-2007

Red_Line_ST Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Подскажите как публиковать сертификат в веб , а то у меня сейчас по адресу http://xxx/CertSrv доступен только шаблон сертификата пользователя,а мне еще надо компьютер добавить. Всего записей: 145 | Зарегистр. 04-01-2007 | Отправлено: 13:57 24-07-2008

4kusnik Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Начинаю крус по безопасности в Windows Server 2003. Прошу помочь с установкой иерархической CA структуры.   Итак есть 4 сервера: 1 DC и три сервера (все три члены домена) под CA, Root CA, Intermediate CA и Issuning СA. Вопросы: 1. Перед установкой СА нужной ли что-то устанавливать или создавать? Может сертификаты какие-нибудь? 2. Установил Enterprise Root CA без опции "Измененные параметры создания пары ключей и сертификата СА. Следом пытаюсь установить Enterprise Subordinate CA, выходит сообщение что не удается проверить связь с выбранным AC хотя в обзоре выбранный ЦА отображается.         В чем причина? Всего записей: 463 | Зарегистр. 09-03-2008 | Отправлено: 07:39 31-08-2008

iron9999 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я настраиваю PKI первый раз, действую по этой  http://www.techdays.ru/videos/3689.html и этой   http://www.alexxhost.ru/2011/05/pki_25.html инструкции.   Сейчас PKI нужен для OWA , в будущем возможно и для других целей.   На виртуальных машинах в тестовой доменной среде поднял:   Root-CA (центр сертификации standalone), Issuing-CA (центр сертификации Enterprice), Web-CA (Служба регистрации в центре сертификации через Интернет).     Сгенерировал на Root-CA .crl И .crt файлы, в их свойствах указано распространение только через http://www.%my.domain%/pki.   На Web-CA создал виртуальный каталог pki , положил туда .crl И .crt файлы от Root-CA.   Кроме того, зарегистрировал их с помощью команды certutil -dsPublish -f %file_path%\%filename%.crl(crt)   Собственно вопросы:   1. Как публиковать сертификаты и списки отзывов от Issuing-CA (центр сертификации Enterprice) на точке распространения Web-CA (Служба регистрации в центре сертификации через Интернет)?   2. Нужно ли что-то делать руками (например копировать Issuing-CA.crl (.crt) файлы на веб сервер Web-CA) или с-ма делает это сама?   3. Нужно ли регистрировать Issuing-CA.crl (.crt) через certutil -dsPublish -f ?       Заранее благодарен за ответы и любую другую информацию по PKI.[/url][url] Всего записей: 56 | Зарегистр. 15-11-2007 | Отправлено: 18:39 31-07-2011

BVV63 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Windows Server 2012. Установлены 2 роли: "Certification Authority" и "Certification Authority Web Enrollment". Наблюдаю следующее непонятное явление. Когда подключаюсь к CA через web-интерфейс с контроллера домена, на котором, собственно, и расположен CA, то отсутствуют шаблоны ("No templates found!"). При подключении с других машин шаблоны видны. И в административной оснастке они тоже имеются. WTF?   Добавлено: К слову, то что в домене несколько точек "Root Certification Authority", это нормально? Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 10:35 04-02-2013 | Исправлено: BVV63, 10:37 04-02-2013

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Установка Certificate Authority

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование