我有不同的操作系统(Windows,MacOS,iOS,Linux)和浏览器的networking。 我想集中pipe理所有客户端/浏览器上的可信证书颁发机构列表。 我想避免在每个客户端上手动pipe理列表CA. 是否有任何操作系统不可知的方式来分发有效的CA列表到客户端,或者通过服务发现(有一个服务,宣布“嘿,让你的CA列表在这里”)或由操作系统设置触发客户端拉清单? Windows Active Directory证书服务似乎这样做,但我宁愿使用开源解决scheme。
我使用自己的CA为我的服务创buildSSL证书。 这些证书由我的CA直接签署。 在我看来,这可能是一个弱项策略,就好像证书被破坏一样,我需要从一个CA创build新的证书。 如果CA受到攻击,每个服务的游戏结束都需要更新。 所以我的理解是,“保护”自己和“稀释”关注的典型方式是创build一个证书链,并签署服务证书的链末,以便如果签名人受到攻击,下一个级别可以用来创build一个新的签名证书。 我能得到那个吗? 我想要做的是创build我自己的证书链。 整个TLS / SSL的东西对我来说还是有点朦胧,但是正如我所看到的,首先创build一个主密钥,然后用openssl genrsa然后用openssl req -x509 -new创build一个自签名证书来创buildCA. 然后我可以使用openssl req -new -key' and sign the request with my CA with -key创build新的密钥和证书签名请求, openssl req -new -key' and sign the request with my CA with openssl x509 -req -CA ca.pem openssl req -new -key' and sign the request with my CA […]
在运行Windows XP的工作站的域中,我们有一个Win2k8作为域控制器。 我希望能够通过GPO安装我自己生成的新的受信任根证书颁发机构证书。 我已经创build了一个GPO,在计算机configuration\ Windows设置\安全设置\公钥策略\受信任的根证书颁发机构中导入了证书,并将该GPO分配给一组用户。 当我在工作站上执行gpupdate / force时,我看不到要导入的证书…即使我重新启动该工作站。 接下来,认为如果我直接在DC上创build一个中间根证书颁发机构,并通过GPO部署中间根证书颁发机构,我可以做得更好。 为中间授权机构生成证书并将其导入到中间证书颁发机构下的同一个GPO中。 再次运行gpupdate / force(并重启)并检查工作站。 在Imtermediate或Root Authorities部分看不到任何东西。 经过一番search后,设法find这个MSI包链接 ,通过GPO安装在两个工作站上,并在工作站上运行gpupdate / force,并注意到中间机构证书已经安装在工作站上,但根CA没有。 有没有人有任何想法我可以尝试下? 谢谢。 LE。 忘了提及根CA是在一个独立的机器上,而不是域的一部分,我打算保持离线。
我是新的ADCS,有很多要了解。 我build立了一个2层的PKI,并且在离线的根CA证书(CRT)和CRL文件放在一个指向DNS中的CNAME的Web服务器上。 当我为从根发布的证书configurationCDP和AIA扩展时,我对完整的http URL(包括CRL / CRT文件名)进行了硬编码。 例如http://cdp.mydomain.com/CertEnroll/myrootca.crl 现在我想知道这是多么糟糕的select。 我没有使用任何替代variables。 根CA不会使用增量CRL,所以我认为CRL文件名不会改变,每次更新时可以用相同的文件名replace。 它是否正确? 至于友邦保险扩展,我没有检查将其包括在已发行的证书中,因为我们不打算发行或使用非域名证书。 我想域计算机会在AD中find根证书,或者通过组策略。 如果事实certificate这些硬URLpath是一个问题,是否有可能现在更新它们,下一次我从根目录更新颁发CA的证书时,它将具有更新后的dynamicCDP?
我有一个独立的根CA,我有从属的CAjoin域。 我最近更新了根CA和子CA的证书。 如何在客户机上的受信任根证书存储中推送这些证书。
我的公司有一个Windows 2003根证书颁发机构服务器,用于生成远程桌面服务login的客户端证书以及内部HTTPS网站的证书。 它最近发展了一些问题,我们想重新启动服务器。 这些问题是由于“RPC服务器不可用”错误而无法通过远程桌面进行远程login,并且失去了创build新证书的能力。 我们尝试停止并重新启动一些服务,但其中有几个仍处于“停止”阶段。 服务器的正常运行时间接近一年半,假设重启应该使所有事情都恢复正常。 然而,一些IT人员声称,如果我们重新启动CA,所有服务器(IIS,SQL Server等)上的所有服务将停止工作,直到系统重新联机。 我无法find任何支持该位置的Microsoft文档,但我也找不到任何certificate运行服务不会有任何影响的文档。 有没有人知道可能对重新启动公司根CA服务器有什么潜在的影响?
我在我的Windows服务器上安装了一个CA,位于一个小型的系统场中。 我在CA上安装了证书颁发机构Web注册和证书注册Web服务angular色。 我想颁发计算机证书到未join我的域的计算机。 用户尝试进行networking注册具有域凭据。 用户能够导航到https:// myServerHostname / certsrv并成功请求用户证书。 但是,用户也需要计算机证书。 用户从certsrv站点尝试以下操作: 高级证书请求 创build并向此CA提交请求 但是,计算机证书模板在“证书模板”标题下不可用。 他只看到“用户”和“基本EFS”。 如何configurationCA以允许他为他的系统申请计算机证书?
使用Microsoft CA有什么办法从中间机构切换到新的证书颁发机构? 我的系统都是Microsoft CA – 我有一个2008 R2企业CA(中级)和一个旧的2003 CA(根)。 2003年的盒子有点灰尘,我没有很好的备份。 CRL到期还有几个月, 而不必切入新的中间机构,是否有一个简单的方法可以简单地将这个中间机构指向一个新的离线CA?
简而言之,我想要使用的证书模板不可用于注册。 有问题的模板是“RAS和IAS服务器”模板的副本。 令人沮丧的是,在testing过程中,我已经完成了这个工作,但是在生产过程中,证书是不可用的。 两者的唯一区别在于生产环境从2003年升级到2008年2季度的森林function水平。 升级前没有CA。 以下是我在两个设置中使用的一般步骤(使用pipe理员帐户完成): 安装AD CSangular色(在DC上) 复制RAS和IAS服务器模板。 重命名为“无线模板”将RAS和IAS服务器权限分配给“注册/自动注册”。 使用mmc在CA上启用“无线模板”,将证书注册到本地证书 这里是不一致的地方,在实验室服务器上,“无线模板”可用于注册。 生产服务器给我一个权限被拒绝的消息。 我会承认,我可能错过了一些步骤,试图在生产服务器上重现这一点。 两台服务器都是2008r2企业版,安装了DC和NPSangular色。
我安装了Active Directory证书服务并创build了一个独立的CA. 一切正常,它会自动在我所有的域工作站上安装CA证书和CRL。 在其中一个工作站上,我从“证书”pipe理单元中删除了CA证书和CRL的所有实例。 现在我不知道如何重新安装它们。 gpupdate不会这样做。 我不想手动做。 它必须是自动的,并且必须与原始安装相同,即CA证书必须出现在之前在“证书”pipe理单元中的所有文件夹中,并且还必须安装CRL。 类似于如果我将新工作站join到域中会发生什么情况。