我有一个域控制器,出于某种原因超出了我的ADCS安装它。 域控制器是2008 R2服务器,需要降级,但首先我需要做两件事情之一。 同一台服务器也运行DHCP,NPS(RADIUS服务器)和其他第三方软件。 我的选项(根据我)1.迁移ADCS到一个不同的服务器(这将是一个新的机器与2012 R2)。 https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx 2.启动脱机的非域join的根CA并使活动域join颁发CA. 然后,我将在域控制器上备份ADCS,撤销任何颁发的证书并删除服务器angular色。 看来,选项1工作,我需要迁移计算机名称和IP以及。 如果我select2,我可以采取哪些措施来减轻可能的影响。 目前,CA已经颁发了9个证书。 但是,只有3个没有到期,其中2个在未来一周到期,一年后的第三个到期。 什么是将ADCSclosures此域控制器的最佳方法?
这令我非常困扰, 我用这个命令生成了一个.csr和.key文件发送给dynadot(发送到AlphaSSL): openssl req -out foo.com.csr -new -newkey rsa:2048 -nodes -keyout foo.com.key 它已经要求我确认,我收到了一个中间链证书,但是我只是把它放在foo.com.crt ,它在我的域名上工作得很好。 与购买页面所述相反,SSL只适用于(domain.com)而不适用于(www.domain.com),并且在生成原始签名请求时,我使用了domain.com作为通用名称。 我认为这是由于我没有使用中间链,所以我愚蠢地覆盖了.csr和.key,试图在由同一个.csr文件中的dynadot提供给我的AlphaSSL之前安装GlobalSign根证书,但是它给我一个关于与我的.key文件不匹配的警告(我正在使用nginx) 我试图重现我的步骤和设置,但是我无法得到(新鲜的crt,只是由dynadot给我的)和.key,我用相同的设置重新生成 – 它只是不匹配。 是否有可能重新请求csr? 或从.csr生成私人.key我被给了? 我宁愿不花一大笔钱,也没有真正的AlphaSSL帐户,所以我不确定我真的可以要求支持或重新签署。 如果你能提供任何build议或帮助,我将不胜感激。
我知道有可能在Active Directory林中的域之间迁移CA(按照http://technet.microsoft.com/en-us/library/cc742388(WS.10).aspx ),但有可能将CA从一个受信任的林迁移到另一个? 任何警告?
有没有一种方法来取消撤销的证书,这是撤销与“被取代”的原因代码? 我正在使用Windows Server 2008 SP2附带的证书颁发机构。
我目前正在编写一个Powershell脚本,并遇到了一些障碍。 基本上,脚本使用certreq.exe和certutil.exe从我们的CA请求,批准和检索新证书。 到目前为止,我的请求和批准工作正常,但只要我试图检索新批准的证书,我得到一个“目录名称是无效的”指的是CA. 我为所有其他命令使用完全相同的-configstring,但在certreq.exe -retrieve调用中失败。 如果我删除它,它会提示我从列表中select正确的CA,其中只有一个。 我非常想避免这种情况,因为我试图自动更新450+证书,不得不坐在这里,点击每个button的button将有点击败整个点。 有人有主意吗? 谢谢。 更多信息: PowerShell脚本stream程如下: 创build.inf文件 运行certreq.exe -new使用生成的inf文件创build.req 使用生成的.req运行certreq.exe -submit 从-submit命令中捕获RequestID并将其传递给certutil.exe -Resubmit以批准它 使用捕获的RequestID运行certreq -retrieve,失败说明它找不到在certreq -submit和certutil -resubmit命令中使用的CA。
是否支持在join2003本机function级域的Windows Server 2008 R2上安装证书颁发机构服务?
简单的OpenVPN设置与SSLauthentication。 SSL-Setup:Root-CA> Intermediate-CA> Issuing-CA 所有证书(vpn-server和-clients)都由“Issuing-CA”颁发。 我尝试使用OpenVPN(服务器和客户端)configuration中的OpenVPN ca ca.pem参数来使用ca ca.pem -CA的证书。 这没有奏效。 我不得不将完整的证书链添加到ca.pem 。 然后它的工作。 我认为ca参数指定了可信的 CA. 我不想包括整个证书链,因为我没有看到这个必要! 相反 – 这对我来说似乎很危险 – 因为根CA和中间CA可以为VPN中使用的CN颁发证书! 我将这个分类为安全风险。 有没有办法将信任锚定设置为非根CA?
我部署了一个独立脱机根CA,并创build了一个子企业CA来处理注册和策略。 这里都设置正确。 我准备通过默认域策略和“计算机configuration”启用自动注册到整个域。 我对设置的当前证书模板感到满意。 在我可能忽略的生产networking上启用此function是否有任何危险? 这可能会导致连接问题? 对于用户或域名等 我不能想到任何事情。
我已经创build了一个自签名的根证书颁发机构,如果我安装到Windows,Linux,甚至使用Firefox中的证书存储(Windows / Linux / macosx)将完全与我的终止代理。 我已经将它安装到系统钥匙串中,并且将证书设置为始终信任。 在Chrome浏览器的详细信息中,它说:“Chrome在此连接尝试期间收到的证书格式不正确,因此,Chrome无法使用它来保护您的信息。错误types:格式错误的证书” 我用这个代码来创build证书: openssl genrsa -des3 -passout pass:***** -out private/server.key 4096 openssl req -batch -passin pass:***** -new -x509 -nodes -sha1 -days 3600 -key private/server.key -out server.crt -config ../openssl.cnf 如果问题不是它是不正确的(因为它在其他地方工作),那么还有什么可能呢? 我安装不正确? 更新 我试图改变证书属性,但无济于事: openssl genrsa -des -passout pass:***** -out private/server.key 2048 openssl req -batch -passin pass:***** -new -x509 -nodes -sha256 -days […]
我试图将一个CA签名的证书导入到Java密钥库中。 我可以find的所有说明都告诉我,首先使用Java keytool创build一个密钥库和一个签名请求(CSR),然后让CA签名CSR,然后将签名证书导入到密钥库中。 那么,愚蠢的我没有阅读好手册,并让CA在网上为我创build证书,而不是上传自己的CSR。 现在我得到了: CA的ca.pem根证书 CA的sub.class1.server.ca.pem中间证书 mydomain.crt为我的域签名的证书,由CA创build 我的证书的mydomain.key私钥文件,由CA创build 我试图将证书导入到我的密钥库中,如下所示: keytool -import -trustcacerts -alias root -file ca.pem -keystore mykeystore.jks keytool -import -trustcacerts -alias intermediate -file sub.class1.server.ca.pem -keystore mykeystore.jks keytool -import -alias mydomain mydomain.crt -keystore mykeystore.jks 所以密钥库的内容如下所示: intermediate, Jul 16, 2015, trustedCertEntry, Certificate fingerprint (SHA1): 0A:D3:… root, Jul 16, 2015, trustedCertEntry, Certificate fingerprint (SHA1): 3E:2B:… mydomain, […]