добрый вечер,
подскажите в этом вопросе, наш сертификат заканчивается через пару недель,
меня застращали, что у нас все на нем держится и VPN и почта и AD,
так что надо обновлять аккуратно, никогда этим не занимался,
какие есть тонкости, откуда брать обновленный сертификат и вообще где поискать материал?
Remy На предыдущий пост.
Юзер внешний или в той же организации Exchange?
Цитата
наш сертификат заканчивается через пару недель
[/quote]
Какой сертификат? Корневой? IPseс?Для DC?Для OWA? Для юзеров?
Цитата
откуда брать обновленный сертификат
[/quote]
Сетрификаты выдает центр сетрификации.
Можно через веб http://CA(твой ЦС)/certsrv, или через оснастку certificates (certmgr.msc).
Сертификат издается на основе шаблона - оснастка Certificate Template
но для этого нужно как минимум иметь новый сертификат, и т.п.
[/quote]
Обновляешь сертификат с сохранением ключей и все.
Никакого нового не надо.
А чего у тебя для корневого сертификата такой маленький срок?
И VPN и почта и AD все на одном сертификате? Не верю!
slz коллега, мне досталась рабочая структура и двое помошником,
помошники говорят что именно так и есть, и они с этим не работали
я до конца еще вникнуть не успел, вот и говорю, то что знаю
пока что я вижу только CA с истекающим сертификатом,
как посмотреть, какие роли на нем висят я пока не знаю.
а еще больший прикол в том, что почти все выданные Issued сертификаты уже просрочены но тем не менее болтаются в CA!
а еще мне кажется, что они, сертификаты, выдаются только для компьютеров,
для авторизации, но где? я пока не понял, вроде как для VPN
Remy Обновление корневого сертификата
http://technet2.microsoft.com/WindowsSe ... 71033.mspx Все сертификаты выданные данным СА, находятся в этой же оснастке (Certification Authority). В свойствах каждого написано для чего он используется. Переиздай все просроченные.
Цитата
а еще мне кажется, что они, сертификаты, выдаются только для компьютеров,
[/quote]
Для реализации VPN так и должно быть.
Сетификаты для конкретного компа можно увидеть в оснастке Certificates, только запускать ее надо через mmc выбирать не пользовательские, а компьютерные.
Remy Обновление корневого сертификата
http://technet2.microsoft.com/WindowsSe ... 71033.mspx Все сертификаты выданные данным СА, находятся в этой же оснастке (Certification Authority). В свойствах каждого написано для чего он используется. Переиздай все просроченные.
Цитата
а еще мне кажется, что они, сертификаты, выдаются только для компьютеров,
[/quote]
Для реализации VPN так и должно быть.
Сетификаты для конкретного компа можно увидеть в оснастке Certificates, только запускать ее надо через mmc выбирать не пользовательские, а компьютерные.
[/quote]
Спасибо, почитаю.
Я видел все эти сертификаты их там тысячи, как быть?
Переиздовать все? Или удалить половину? Или пусть висят? Что?
Сертификаты для каждого отдельного компа я знаю где смотреть и видел их.
Срок действия у них кончается в тот же день, что и у корневого CA.
Это разве нелогично,что выдаваемый сетификат того же срока действия что и выдающий?
[/quote]
Не выдаваемый и выдающий, а корневой и выданный, и подписанный корневым.
А какая тут логика?
Есть у MS такая штука, называется Best Practice в ней все популярно расписано, что и как задумывалось и как лучше всего это можно использовать.
Корневой выдается на 5-10-15 лет и с достаточной большой длинной ключа 2048 - 4096 (по дефолту 5 лет и 4096), самоподписывается или подписывается внешней стороной и обновляется только руками.
Все остальные выдаются в зависимости от назначения на срок от 6мес - 2 года и длинной ключа 256 - 2048 и автоматически обновляются при достижении определенного срока, например за 3-6 мес до окончания срока действия (все это задается в настройках шаблона).
Не видя твоей структуры PKI трудно что-то судить, как оно там построено и как долно фунциклировать, или как задумывалось.
Возможно что корневой сертификат долго не обновлялся, а значит он не может выдавать и подписывать сертификаты дальше своего срока действия, вот они все вместе и стали неликвидными.
Т.е. если корневой выдан на 5 лет, а пользовательские или компьютерные на 2 года, то прошествии 4 лет, пользовательские и компьютерные будут выдаваться на 1 год.
Remy » 13 фев 2006, 19:42 