В помощь ИТ специалисту 

Обновление CA сертификата

Обсуждение сетевых операционных систем и их применения (Windows, Linux, FreeBSD, Novell и т.д.)

Модератор: Модераторы

Ответить
Remy
Активный пользователь
Аватара пользователя
Сообщения: 793
Зарегистрирован: 17 мар 2004, 19:11
Откуда: Санкт-Петербург, Россия

Сообщение Remy » 13 фев 2006, 19:42

добрый вечер,
подскажите в этом вопросе, наш сертификат заканчивается через пару недель,
меня застращали, что у нас все на нем держится и VPN и почта и AD,
так что надо обновлять аккуратно, никогда этим не занимался,
какие есть тонкости, откуда брать обновленный сертификат и вообще где поискать материал?
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 14 фев 2006, 15:00

Remy
На предыдущий пост.
Юзер внешний или в той же организации Exchange?
Цитата
наш сертификат заканчивается через пару недель
[/quote]

Какой сертификат? Корневой? IPseс?Для DC?Для OWA? Для юзеров?
Цитата
откуда брать обновленный сертификат
[/quote]

Сетрификаты выдает центр сетрификации.
Можно через веб http://CA(твой ЦС)/certsrv, или через оснастку certificates (certmgr.msc).
Сертификат издается на основе шаблона - оснастка Certificate Template
Цитата
вообще где поискать материал?
[/quote]

Я знаю где только на буржуйском
http://technet2.microsoft.com/WindowsSe ... 81033.mspx
http://www.microsoft.com/windowsserver2 ... fault.mspx
http://www.microsoft.com/technet/securi ... ot_ca.mspx
http://technet2.microsoft.com/WindowsSe ... 51033.mspx
Вернуться к началу
Remy
Активный пользователь
Аватара пользователя
Сообщения: 793
Зарегистрирован: 17 мар 2004, 19:11
Откуда: Санкт-Петербург, Россия

Сообщение Remy » 14 фев 2006, 15:41

slz
не мой личный сертификат, а сертификат моего CA!

как его обновить, я нашел Renew certificate, но для этого нужно как минимум иметь новый сертификат, и т.п.

а как это делать я не в курсе.
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 14 фев 2006, 16:10

Remy
Цитата
но для этого нужно как минимум иметь новый сертификат, и т.п.
[/quote]

Обновляешь сертификат с сохранением ключей и все.
Никакого нового не надо.
А чего у тебя для корневого сертификата такой маленький срок?
И VPN и почта и AD все на одном сертификате? Не верю!
Вернуться к началу
Remy
Активный пользователь
Аватара пользователя
Сообщения: 793
Зарегистрирован: 17 мар 2004, 19:11
Откуда: Санкт-Петербург, Россия

Сообщение Remy » 14 фев 2006, 16:34

slz
коллега, мне досталась рабочая структура и двое помошником,
помошники говорят что именно так и есть, и они с этим не работали
я до конца еще вникнуть не успел, вот и говорю, то что знаю :)

пока что я вижу только CA с истекающим сертификатом,
как посмотреть, какие роли на нем висят я пока не знаю.

а еще больший прикол в том, что почти все выданные Issued сертификаты уже просрочены но тем не менее болтаются в CA! :)

а еще мне кажется, что они, сертификаты, выдаются только для компьютеров,
для авторизации, но где? я пока не понял, вроде как для VPN
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 15 фев 2006, 07:57

Remy
Обновление корневого сертификата
http://technet2.microsoft.com/WindowsSe ... 71033.mspx
Все сертификаты выданные данным СА, находятся в этой же оснастке (Certification Authority). В свойствах каждого написано для чего он используется. Переиздай все просроченные.

Цитата
а еще мне кажется, что они, сертификаты, выдаются только для компьютеров,
[/quote]

Для реализации VPN так и должно быть.
Сетификаты для конкретного компа можно увидеть в оснастке Certificates, только запускать ее надо через mmc выбирать не пользовательские, а компьютерные.
Вернуться к началу
Remy
Активный пользователь
Аватара пользователя
Сообщения: 793
Зарегистрирован: 17 мар 2004, 19:11
Откуда: Санкт-Петербург, Россия

Сообщение Remy » 15 фев 2006, 12:12

Цитата (slz @ 15.02.2006 - 06:57)
Remy
Обновление корневого сертификата
http://technet2.microsoft.com/WindowsSe ... 71033.mspx
Все сертификаты выданные данным СА, находятся в этой же оснастке (Certification Authority). В свойствах каждого написано для чего он используется. Переиздай все просроченные.

Цитата
а еще мне кажется, что они, сертификаты, выдаются только для компьютеров,
[/quote]

Для реализации VPN так и должно быть.
Сетификаты для конкретного компа можно увидеть в оснастке Certificates, только запускать ее надо через mmc выбирать не пользовательские, а компьютерные.
[/quote]

Спасибо, почитаю.

Я видел все эти сертификаты их там тысячи, как быть?
Переиздовать все? Или удалить половину? Или пусть висят? Что?

Сертификаты для каждого отдельного компа я знаю где смотреть и видел их.
Срок действия у них кончается в тот же день, что и у корневого CA.
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 15 фев 2006, 13:41

Remy
Цитата
видел все эти сертификаты их там тысячи, как быть?
[/quote]

Оставить только нужные и обновить, остальные отозвать.
http://www.itnewsgroups.net/link.aspx?u ... ?id=889250
Посмотри утилитку certutil.
http://technet2.microsoft.com/WindowsSe ... e1033.mspx
Цитата
Срок действия у них кончается в тот же день, что и у корневого CA.
[/quote]

Это просто сказка :)
Вернуться к началу
Remy
Активный пользователь
Аватара пользователя
Сообщения: 793
Зарегистрирован: 17 мар 2004, 19:11
Откуда: Санкт-Петербург, Россия

Сообщение Remy » 15 фев 2006, 15:37

Цитата (slz @ 15.02.2006 - 12:41)
Remy
Цитата
видел все эти сертификаты их там тысячи, как быть?
[/quote]

Оставить только нужные и обновить, остальные отозвать.
http://www.itnewsgroups.net/link.aspx?u ... ?id=889250
Посмотри утилитку certutil.
http://technet2.microsoft.com/WindowsSe ... e1033.mspx
Цитата
Срок действия у них кончается в тот же день, что и у корневого CA.
[/quote]

Это просто сказка :)
[/quote]

Что именно ты называешь сказкой?
Это разве нелогично,что выдаваемый сетификат того же срока действия что и выдающий?
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 16 фев 2006, 12:43

Remy
Цитата
Что именно ты называешь сказкой?
[/quote]

Это типа в переносном смысле :)
Цитата
Это разве нелогично,что выдаваемый сетификат того же срока действия что и выдающий?
[/quote]

Не выдаваемый и выдающий, а корневой и выданный, и подписанный корневым.
А какая тут логика?
Есть у MS такая штука, называется Best Practice в ней все популярно расписано, что и как задумывалось и как лучше всего это можно использовать.
Корневой выдается на 5-10-15 лет и с достаточной большой длинной ключа 2048 - 4096 (по дефолту 5 лет и 4096), самоподписывается или подписывается внешней стороной и обновляется только руками.
Все остальные выдаются в зависимости от назначения на срок от 6мес - 2 года и длинной ключа 256 - 2048 и автоматически обновляются при достижении определенного срока, например за 3-6 мес до окончания срока действия (все это задается в настройках шаблона).
Не видя твоей структуры PKI трудно что-то судить, как оно там построено и как долно фунциклировать, или как задумывалось.
Возможно что корневой сертификат долго не обновлялся, а значит он не может выдавать и подписывать сертификаты дальше своего срока действия, вот они все вместе и стали неликвидными.
Т.е. если корневой выдан на 5 лет, а пользовательские или компьютерные на 2 года, то прошествии 4 лет, пользовательские и компьютерные будут выдаваться на 1 год.
Вернуться к началу
След.
Ответить

Вернуться в Сетевые операционные системы

Сетевые операционные системы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Список форумов
Удалить cookies конференции