我正在build立一个最初将在内部使用的PKI。 由于我们可能会增加对此的使用,因此我select了三级层次结构 – 脱机根和策略CA(目前供内部使用的一个策略CA)和在线颁发CA. 我们最初讨论的是使用我们的域控制器作为颁发CA,而不是build立专用的CA。 我现在开始怀疑是否让我们的区议会签发证书是个好主意。 我们有不到1000个用户,所以我们的区议会没有被征税。 有没有人有任何build议或反对这样做? 我们目前正在运行Windows 2003 Active Directory,但将在未来一年升级到Windows 2008。 我正在设置Windows 2008 PKI。
我的Win2012R2下属企业CA证书已过期。 我已经有了一个新的工作。 我如何删除过期的证书? 我在企业CA的MMC CA控制台的常规选项卡上看到过期的证书,但没有任何删除选项。 我必须在离线CA Root上吊销它,以便从Enerprise CA中消失? 这是一个正常的操作,我没有看到networking中的任何信息说过期的证书是如何从企业CA删除或撤销。
作为安装产品的一部分,我们通常需要设置AD和CA服务。 我find了一种从命令行安装CA的方法: https : //technet.microsoft.com/en-us/library/ff849263(v=ws.10).aspx 。 但是有没有办法从命令行生成证书模板呢?
我负责将Java 7 Update 55和Java部署规则集一起部署到所有Active Directory Windows客户端。 我设法获得了一个稳定的Java软件部署设置,但是我现在正在努力部署Deployment Rule Set,以便能够正确configurationJava。 我正在签署DeploymentRuleSet.jar文件。 我有一个Active Directory证书服务服务器将证书分发给所有客户端,我想使用此CA颁发的证书。 每次我通过这个链接中的步骤,我复制我签署的DeploymentRuleSet.jar文件到客户端,并尝试运行一个允许的Java小程序,我总是得到错误:“无法validation自签署的部署规则集jar ”。 这里是我已经完成的行动,我认为应该这样做,但不是: 我根据这里提供的模板创build了我的ruleset.xml文件。 我下载并安装了JDK v1.7.0.60。 我将ruleset.xml文件复制到JDK的bin文件夹中。 我通过发出以下jar -cvf DeploymentRuleSet.jar ruleset.xml创build了DeploymentRuleSet.jar文件: jar -cvf DeploymentRuleSet.jar ruleset.xml 我生成了一个新的密钥库和密钥: .\keytool.exe -genkey -alias mykey -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass changeit 我生成了一个CSR: keytool -certreq -alias mykey -file csr.csr -keystore keystore.jks -storepass changeit 我从密钥库中提取私钥: keytool -v -importkeystore […]
运行Windows 2012 R2的Microsoft PKI的默认安装包括CRL分发点(CDP)和授权信息访问(AIA)中的LDAP URL。 我想在我的组织之外颁发证书,但是我不希望证书中包含内部LDAP地址。 有没有理由认为从我的扩展中删除LDAP地址现在或将来会造成伤害?
我在linux上使用openssl来生成一个证书签名请求(CSR),这个证书签名请求将被提交给已经被configuration为存档私钥的Windows证书服务证书颁发机构。 不幸的是,我不知道如何使用openssl来生成一个包含私钥的CSR,这样CA就可以发行我的证书并存档私钥。 编辑:基于这个微软文档 ,它看起来像我试图做的是生成一个使用CMC格式的CSR,这是什么让私钥“与”归档请求“一起”。 从那个链接: 证书请求使用的格式之一是证书请求的CMC格式,它支持可选的encryption数据有效载荷。 这是具有私钥存档的证书请求所需的格式。 从技术上讲,任何支持CMC协议的客户端都可以注册一个企业CA,并请求私钥被CA存档。 还有更多发现: 这两个链接( 一个 , 两个 )的组合是你如何使用微软的certreq工具。 我已经testing过它,它工作。 如果可能,我想用openssl来做到这一点。
我在我的Windows服务器上安装了一个CA,位于一个小型的系统场中。 我在CA上安装了证书颁发机构Web注册和证书注册Web服务angular色。 我想颁发计算机证书到未join我的域的计算机。 用户尝试进行networking注册具有域凭据。 用户能够导航到https:// myServerHostname / certsrv并成功请求用户证书。 但是,用户也需要计算机证书。 用户从certsrv站点尝试以下操作: 高级证书请求 创build并向此CA提交请求 但是,计算机证书模板在“证书模板”标题下不可用。 他只看到“用户”和“基本EFS”。 如何configurationCA以允许他为他的系统申请计算机证书?
我有一个Hyper-V虚拟机上的Windows Server 2012 R2企业根证书颁发机构, 由于目前未知的原因 ,它不再启动。 我不知道虚拟机是否会回到网上,但我知道的是,我有它的虚拟磁盘,似乎没有损坏, 我可以将它挂载到另一个系统上并访问它的所有内容。 我想在新的虚拟机上重buildCA,并且习惯了这个过程,之前已经执行了大量的CA迁移; 我知道在哪里可以find证书颁发机构数据库( C:\Windows\system32\certlog ),以及如何将其复制到新build立的CA. 我不知道的是,CA的根证书在哪里存储? 我需要私钥才能重buildCA,但是我不知道在失败的CA的虚拟磁盘上find它的位置。
在我的环境中,我们在IIS(Windows 2008 R2和Windows 2012)中托pipe了大量网站和WCF Web服务。 我们正在这些网站上启用HTTPS。 这个过程如下: 使用我们的networking中可用的Active Directory证书颁发机构,在IIS中创build一个已签名的*.environment.domain证书。 通过更改站点绑定并应用生成的证书,在站点上启用HTTPS。 鉴于机器和网站的数量,我们希望自动执行所需的操作。 我可以在部署过程中将正确的站点绑定应用于站点,但是我还没有find在IIS中创build和安装域签名证书的解决scheme。 我已经find了如何手动执行此操作,使用IIS中的“服务器证书”图标,并在那里调用“创build域证书”操作。 我可以提供正确的凭据,并且当我指定证书颁发机构时,我可以创build所需的证书。 我还发现,您可以查看使用cert:\ PowerShell驱动器安装在机器上的cert:\ : cert:\LocalMachine\My> Get-ChildItem 我发现在Windows Server 2012上有一个New-SelfSignedCertificate PowerShell CmdLet可用。 不过,我似乎无法find所需的PowerShell突击队在Windwos Server 2008 R2上结合所有这些操作。 如何使用PowerShell在IIS中创build和安装域签名的SSL证书?
所以我有一个工作的Active Directory。 我最近添加了一台新机器作为Active Directory证书颁发机构。 根据此文档,我已经添加了用于自动证书注册的组策略(计算机级别)。 并validation我的CA出现在我的所有域成员的受信任根证书中。 我导出了CA的根证书,并将其添加到我的工作站(计算机)“受信任的根CA”列表中。 当我想远程桌面到我的远程服务器,它仍然popup这样的警告: 当我查看证书时,很明显,正在发送的证书是默认的机器自签名证书。 如何让Windows根据新的受信任的根CA重新颁发机器证书? 我猜测,我需要创build一个机器证书的自动批准策略的地方有一些约束可能谁可以做出这样的请求。 然后我猜想,我需要推送一个域名政策,以某种方式指示我所有的域名成员获得他们的机器证书。 这听起来对任何人都很熟悉吗? 我觉得我找不到这个文件的原因是因为我不知道正确的术语。