我想弄清楚如何使用关键的扩展集合进行合格的从属 ,但我无法弄清楚如何在MSFT AD CS中做到这一点。 对于给定的证书,我如何确保在颁发的证书上正确设置了名称约束? 编辑 到目前为止完成的工作(请参阅编辑历史了解更多工作): 遵循这些指导,我在这里安装了一个子CA。 名称约束configuration在两个位置之一。 创build新的CA时,可以通过configurationCAPolicy.inf来强制实施名称约束,从而为该CA定义名称约束。 同样,如果您要创build合格的从属CA证书,则可以在Policy.inf文件中定义名称约束。 在这两种情况下,使用以下语法: [NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = TrUe [NameConstraintsPermitted] DNS = "" email="" UPN="" [NameConstraintsExcluded] DNS = .nwtraders.com email = @nwtraders.com UPN = .nwtraders.com UPN = @nwtraders.com URI = ftp://.nwtraders.com DIRECTORYNAME = "DC=NWtraders, DC=com" 我在subCA上的capolicy.inf是这样的 [Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=LegalPolicy [LegalPolicy] […]
我遇到类似于此问题中发布的问题: 缺less证书模板从证书发出 简短的版本是我创build了一个重复的证书模板,我试图将其添加到我的域CA,以便我可以颁发证书。 但是,当我进入证书颁发机构MMC并转到“证书模板 – >新build – >要发布的证书模板”时,缺less我的模板(以及相当多的其他模板存在于域中)。 但是, 与上一个问题不同 ,我的CA在Server 2008 R2 Enterprise上运行。 我们的组织有一个单一的DC和一个单一的CA,所以我没有看到可能存在传播延迟的地方。 任何想法如何让我的模板显示,以便我可以颁发证书?
您可以创build和部署证书信任列表,如下所述,但我试图了解这种优势,而不是通过组策略部署根和中间证书。 我为什么要\需要这样做?
我正在使用企业PKIpipe理单元来诊断和检查MSFT PKI系统的运行状况。 有没有什么方法脚本/自动化这个工具来提醒我CRL的挂起到期或失踪的友邦?
设置Windows 2012的企业CA.在生成初始根CA时,select了SHA512。 这已经被certificate会导致我们没有意识到的TLS 1.2的问题。 我正在尝试生成一个不是SHA512的新的自签名CA. 我可以find的唯一选项和说明是更新现有的CA,不会更改证书types。 是否有一个这样做的过程,或CA服务必须删除并重新安装,以生成一个新的CA?
许多工作站具有使用工作站身份validationCA模板颁发的过期计算机证书。 此模板的CA在2天内过期。 我已经部署了一个新的CA,有一个延长的date,并在本周末成功地注册了许多机器。 我现在担心closures的工作站,或者没有从企业CA获得新的计算机证书。 问: 什么是工作站证书用于? Kerberos的? 用户/机器是否可以在星期一上午(过期date)login? 一旦证书过期,机器能否获得新的证书? 由于我使用的是Windows 2012 R2,所以可能会使用低级别的NTLM作为Kerberos的替代品,这不是问题…虽然我不确定在所有情况下这是否可以接受:(例如DCOM注册的证书)
我正在考虑安装新的AD集成企业证书颁发机构结构,但发现有人已经创build了一个CA(主要用于内部网站上的SSL)。 我想根据最佳实践来构build新的结构,创build一个脱机根目录,授权几个从属CA进行容错等,但我不想搞乱已经存在的东西。 显然你不能把一个现有的根CA变成一个下属,所以这是排除的。 我可以简单地在别处安装新的根,而不是触摸现有的? (或者用新的根权限交叉签名现有的CA?)
我的目标是在组织中实现Java部署规则集,但是当我们有一个通过Active Directory运行的工作CA时,我不想为代码签名证书支付第三方authentication机构。 我已经按照我认为是正确的程序来完成这一任务,但是当我最终去运行任何Java小程序时,我收到以下错误: 无法validation自签署的部署规则集jar 我遵循的步骤是: 导出我们的根CA证书 在JRE安装path中将根证书导入到cacerts中 将根证书导入到个人密钥库 使用keytool为个人密钥库的新证书生成CSR 使用certreq将CSR提交给企业CA,并使用“代码签名”模板 将该证书导入个人密钥库 创build了一个非常基本的部署规则集,并将其编译为jar 从第6步起,在个人密钥库中签署带有证书的jar 将签名的jar复制到\ Windows \ Sun \ Java \ Deployment \ 上述步骤都完成没有错误 – 没有关于无效证书链或类似的。 我可以在Java控制面板中看到根CA证书,当我点击控制面板中的部署规则集链接并查看其证书时,我会看到来自步骤6的证书以及它的父CA,它们都有将来的过期date并据我所知可以更正信息。 但是在运行任何小程序时我仍然收到validation错误 所以 – 是不是可以做到这一点,我们必须支付证书? 还是我(希望)做错了什么? 如果有人有任何的见解,将不胜感激,谢谢!
我是新来的DSC,并试图找出如何使它为我们工作。 我坚持的是证书如何被实际保护。 我目前的理解是,这并不是那么好。 三大问题就是这些。 如何使用公钥作为解密源确实保护这些证书? 哪些计算机在推拉scheme中需要证书? 鉴于这些问题,处理证书的最佳做法是什么? 使用证书的公钥certificate传输源是有效的。 但将其用作解密密钥意味着访问证书的公钥将决定对密码的访问。 如果您必须将证书推送到每个需要解密MOF文件的计算机,那么什么才能阻止普通用户访问证书并能够解密MOF? 说活动目录安全意味着你可以把它放在纯文本中,只依靠AD安全。 有人能帮我解决这个问题吗?
Windows Server提供证书颁发机构服务。 但是,从文档中不清楚如何(或者如果)根证书分发给客户端。 域成员计算机是否自动信任根证书? 如果是这样,他们如何以及何时获得证书? 是否需要安装或信任根证书的用户交互? 客户端是否在轮询Active Directory? 它在AD DNS吗? 它只会在login过程中得到它吗? 如果域成员远程VPN到局域网怎么办? 是否有不同版本的Windows客户端的警告?