在我们的Windows域(2008R2和2012R2服务器)中,我们正在运行域CA. 根证书是一个自签名证书。 我们也有来自我们的互联网提供商(主要是我们的网站)的x.509证书,由可信任的互联网CA签署。 我想要从Windows CA中删除自签名的根证书,并将其replace为来自我们提供商的证书。 两个问题:1.这是可能的吗? 我可以使用来自可信CA的证书作为我自己的CA的根证书吗? 2.这将是可能的,而不重build整个领域? 我认为域控制器需要LDAP通信的证书,如果我只是切换他们用来创build自己的证书的根证书,会发生什么? 谢谢你的帮助!
集成的企业OpenVPNconfiguration 我试图find一个如何以安全的方式configurationopenvpn的最终来源,最重要的是100%与Active Directory集成在一起。 我懒得有多个系统照顾。 我想要: OpenVPN客户端没有定制(当然除了configuration文件) 与Active Directory紧密集成 authentication的多重因素(MS证书商店+密码) 超级简单的pipe理 这是我想出来的。 这个解决scheme是否安全,是否满足上述需求? 在这一点上,我假定有一个活动的目录服务器在openvpn服务器可以连接到的地方,并且客户机连接到域。 我也将假设你有一个AD CA部署。 自动注册 这一切都始于一个古老的自动注册过程之旅。 我不打算在这里详细说明,因为本说明很好地描述了这个过程。 唯一需要注意的是我自动注册的机器证书,而不是用户证书。 一旦GPO推出,所有最终用户都将拥有由域CA签署的不可移植的私人机器证书。 现在,我们可以用OpenVPN结婚AD自动注册证书吗? 我想是的。 证书颁发机构 在AD CA上,导出CA公用证书。 在我的情况下,我把它命名为最后一个.crt的机器名称。 PKIconfiguration 这些例子假设一个基于ubuntu的操作系统。 调整您的发行包和电子证书步骤。 # install our requisite packages apt-get -y install openvpn openvpn-auth-ldap # install our ca key as root ca mkdir /usr/share/ca-certificates/extra/ cat > /usr/share/ca-certificates/extra/contoso-CONAWSDC01-CA.crt << EOM —–BEGIN […]
我想使用本地域CA的代码签名证书来签署一个.NET程序集。 我试着发送一个证书请求,并从本地证书存储中获得本地域CA的签名证书。 但是,此证书不能用于在Visual Studio中签署我的程序集。 由于可以从.pfx文件中导入CA证书,所以我要求我的域pipe理员创build一个新的证书并将其导出到.pfx中 – 但是他找不到这样做的方法。 内部可信证书描述了同样的问题,但没有一个答案实际上告诉如何专门创build一个代码签名证书。
我有一个标准的Windows 7 Pro x64工作站,启用远程桌面,工作站是一个域(Samba3,所以NT4风格)的一部分。 我已经按照这些说明成功了,工作站现在正在为RDP客户端提供适当的证书,但是,尽pipe信任CA,RDP客户端仍然显示警告。 RDP证书由组织CA(位于RDP客户端和RDP服务器的受信任的根存储中)签署,当从RDP客户端警告窗口查看证书时,该链是有效的并且“OK”。 该链接表明,必须添加一个CRL,但是由于我们没有一个,因此我在两台机器上的相关CA证书上禁用了CRL,但是我没有成功。 为什么我的客户说证书不是来自有效的authentication机构? 这是客户端还是服务器端问题? 我该如何解决?
我的networking上仍然存在正在进行的复制问题。 长话短说: 现有的2003域(2003级)。 增加了一个新的2008R2服务器。 通常的Adprep / forestprep步骤是否按要求进行? 转移FSMOangular色等 创buildSysvol和Netlogon共享有一些初始问题。 在这里运行Burflags重置解决scheme的帮助下整顿。 现在,奇怪的是,我有以下问题: 在2008DC的AD Users和CLients中,我拥有所有的用户….但在其他任何OU中都没有。 计算机,内置,域控制器等没有什么,但在我的2003DC,他们都在那里。 所以它不把信息从2003DC中拉出来放入2008DC。 但是,如果在2008DC上创build一个用户,它将成功复制回2003DC,如果我在2003DC上创build用户,它将成功复制回到2008DC。 有任何想法吗?? 我想杀了2003DC,但是直到我完成这个工作。 另外,在2008DC,这可能是相关的。 我重复了事件6和事件13 – 无法自动注册 – RPC服务器不可用。 再次,任何帮助apprciated。
我最近创build了一个新的CA证书,因为旧的证书即将到期。 我将这个证书部署到了我们的OpenVPN服务器上,并且在这个证书上validation了两个证书(已消毒)的本地证书。 # openssl verify -CAfile cacert.2009-11-19.pem server_cert.2012-12-05.pem server_cert.2012-12-05.pem: OK # openssl verify -CAfile cacert.2013-11-18.pem server_cert.2012-12-05.pem server_cert.2012-12-05.pem: OK 但使用OpenVPN连接到这个服务器给我这个在服务器的日志(消毒): VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=ES/ST=***/L=***/O=***/OU=***/CN=***/emailAdress=*** 任何想法将不胜感激 谢谢
我有一个非域PC(Windows 7)试图从Windows 2008 R2企业CA获得证书。 我有root ca和crl安装在非域客户端上。 我正在创build一个将创build证书请求文件(.inf)的脚本,将该请求文件转换为.req二进制文件,然后提交给CA. 我将如何去通过命令行提交证书申请? 我试过使用下面的命令,但它与“证书颁发机构是无效或不正确0x80072f0d(Win32:12045)错误。 certreq -submit -Username domain\user -p password -PolicyServer "https://192.168.1.10/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" -config "https://192.168.1.10/caname_CES_Kerberos/service.svc/CES" -attrib "CertificateTemplate:Computer" C:\cert1.req C:\cert.cer
所以在用SHA512configuration一个离线的根CA和在线的AD subordiante CA之后不久就可以进行validation了。 我们发现一个瘦客户端供应商(Teradici零客户端与视图6)只支持SHA1和SHA256。 我无法find任何方式configuration模板以使用SHA256与任何CSP。 我尝试了“certutil -setreg ca \ csp \ CNGHashAlgorithm 256”,但是这会使生成的每个新证书的签名无效。 除了重做整个PKI之外,有没有人有任何想法或path可以追求? 谢谢。
我想将证书颁发机构CAangular色从Windows 2003计算机导出并迁移到Windows 2008 R2虚拟机的新副本。 有人告诉我,我不能同时在同一个networking上拥有2个CAangular色。 因此,我必须先在旧机器上导出证书,删除CAangular色,然后在新机器上添加CAangular色,并将证书导入到新机器中。 为了安全起见,我负责find一个备份解决scheme,以防止这种情况发生,我需要恢复到旧的Windows 2003 CA. 我的问题是:做这种备份的最好的软件是什么? 我目前正在尝试使用Symantec Backup Exec 2012.我希望能够在删除Windows 2003上的CAangular色之前创build备份。如果此CA迁移失败,备份将允许我将旧计算机恢复到我删除了它的CAangular色。
我设法使用命令删除一个证书: certutil -delstore -v -enterprise CA“证书CN” 但不幸的是,它只有在使用以下命令首次添加证书时才有效: certutil -addstore -f -enterprise ….. 如果我手动添加一个证书,我不能设法删除它的脚本。 感谢帮助