我有一个域控制器,出于某种原因超出了我的ADCS安装它。 域控制器是2008 R2服务器,需要降级,但首先我需要做两件事情之一。 同一台服务器也运行DHCP,NPS(RADIUS服务器)和其他第三方软件。 我的选项(根据我)1.迁移ADCS到一个不同的服务器(这将是一个新的机器与2012 R2)。 https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx 2.启动脱机的非域join的根CA并使活动域join颁发CA. 然后,我将在域控制器上备份ADCS,撤销任何颁发的证书并删除服务器angular色。 看来,选项1工作,我需要迁移计算机名称和IP以及。 如果我select2,我可以采取哪些措施来减轻可能的影响。 目前,CA已经颁发了9个证书。 但是,只有3个没有到期,其中2个在未来一周到期,一年后的第三个到期。 什么是将ADCSclosures此域控制器的最佳方法?
我们正在考虑将我们的企业CA部署到用户家中的可能性,我们正在寻找一种以编程方式安装根CA的方法。 我注意到certutil没有包含在默认的XP安装中。 有谁知道一个类似的工具,可以导入证书到证书存储没有提示用户的任何信息? 我们需要针对XP,Vista和7。
我们的networking上有一个本地模式的SCCM安装。 出于安全原因,我们有两个未join域的服务器,但安装了本机模式的SCCM客户端(名义上可用)。 SCCM刚刚更新了站点服务器签名证书(因为现在的服务器签名证书已经过期),我无法在Technet上find任何有关非域join的计算机需要做什么的信息。 有人对此有经验吗? 非域名客户是否应该“拿起”更新的证书,还是需要采取额外的措施?
美好的一天。 我已经进入需要进行服务器迁移的项目,这将改变我们启用CAC / PKI SSL网站的authentication方式。 我们使用iPlanet 7和Oracle Directory Server Enterprise 7作为我们的LDAP服务器。 情况是,该网站仍然启用CAC / PKI,但在防火墙。 我们要validation的信息现在在http头中。 我如何configurationiPlanet和LDAP来validation头部而不是SSL? 谢谢。 编辑,这可以通过使用IIS保持Directory Server EE LDAP完成,或者只是ACL iPlanet?
我已经build立了多次PKI,但是这个组织的结果令我感到困惑。 脱机根2008 R2标准2xEnterprise从属CA的2008 R2企业版 安装的服务,一切都很好。 当我去添加v2,v3模板,他们不可用,所以我google,发现在PKI注册服务的AD站点和服务,如果我打开任一企业CA的属性,并去属性标志设置为2 。2代表在Std ed窗口上运行的企业CA( http://sccmguy.com/2011/01/05/after-migrating-your-ca-from-2008-standard-to-enterprise-you-still-can- not-publish-the-sccm-custom-certificates / ) 如果将值更改为10并重新启动,则可以添加模板,但自动注册不起作用,并且出现以下错误:“Windows默认”策略模块logging了以下警告:CAExchange证书模板可能不能被加载这个函数在这个系统上是不支持的0x80070078“ Computer-2008和我创build的其他模板也一样。 自动注册在GPO中正确设置,模板上的权限很好。 再次 – 之前这样做,所以我知道这些项目是好的。 我已经备份了一个企业CA,并卸载了angular色,然后重新安装和恢复,只是想出了相同的。
我希望这不会成为一个愚蠢的问题,但这是一个情景: 我们有一个服务器2008R2域,使用通过safenetpipe理的PKIauthentication。 对于我们域中的一些系统,由于devise限制,多个用户必须使用一个共享帐户。 这很容易通过将共享帐户添加到他们的智能卡来pipe理,但是这引起了不可否认的问题。 主要有: 有没有办法跟踪什么卡login到共享帐户? 或其他方式来区分用户使用情况,以跟踪谁在给定的时间实际使用帐户? 在这种情况下,没有卡只有共享帐户,所有卡也都有一个指定的用户帐户,共享帐户将是次要的。
我有一个DirectAccess服务器与DMZ中的Windows Server 2012 R2和其他服务,如Active Directory(位于子域)和内部区域的PKI基础设施。 当我尝试应用远程访问设置中的“ 使用计算机证书 ”设置以使Windows 7客户端计算机通过DirectAccess连接时,出现此错误。 我应用最后的更改时出现此错误: https://1drv.ms/i/s!AlOAAiRBk3lngaIfFMh-TPu5uRFzWw 在事件查看器中,我只能得到这个: https://1drv.ms/i/s!AlOAAiRBk3lngaIgv5u8kAQ7ZpSnPg 有谁知道为什么这个错误可能会发生?
我有一个nginx的configuration,做ssl-pkiauthentication – 我很高兴能够authentication我的用户。 不过,我想进一步 – 我想要允许/拒绝访问基于SSLvariables的资源 – 特别是$ssl_client_s_dn (并validation$ssl_client_verify是“成功”) 基于此,我想根据用户列表select性地允许/拒绝URL组。 在这种情况下,Elasticsearch。 我有: 我想访问的一些通用API(服务器状态,集群运行状况,“ping”)。 有些迹象表明,我希望一群用户能够“看到” 有些指标我想要另一组用户“看”。 现在看起来我可以用http_auth_request来做到这一点 – redirect到一个'auth'url – 有点像这个博客中概述的 但是这对我来说似乎有点矫枉过正,为此我必须编写自己的“引擎”来接受/读取http,validation它是否等于正则expression式,并且吐出一个响应代码。 我正在试图做的“白名单”,例如对我来说: allow if /(logstash|filebeat|topbeat)-mygroup-.*/; (其中“mygroup”是从某个文件中读取的,理想情况下允许拥有多个组的成员资格)。 现在,最好用http_auth_request完成,并把它提供给一个真正的削减validation器的Web应用程序(脚本独立,或NGINX内的cgitypes的脚本)还是有更好的方法吗? 这个模块是一个额外的nginx,这意味着重新编译。 这不是一个灾难,但如果没有必要(我可以继续使用“股票”nginx),这将是可取的。
我致力于通过Internet保护数据交换。 我们计划使用VPN和证书来validation用户身份。 为此我已经确定了各种PKI解决scheme。 EJBCA:安装并使用它进行testing。 (Ca,Sub-Ca,最终用户证书和OCSP) Dogtag:安装,但没有真正尝试过呢 XiPKI OpenCA 我计划在Debian稳定版上使用选定的解决scheme。 但经过调查,还有很多尚未解决的问题,没有用户反馈就很难解决,这就是我寻求帮助的原因。 所以我的问题是关于每个解决scheme之前列出: 是否有一个大的OpenSource社区背后? 产品是否还在积极开发(当你开始一个PKI,你期望某种可见性)? 任何有利于特定解决scheme的build议,为什么? 在select解决scheme时,我应该担心的其他任何问题? 全球用户对PKI解决scheme的反馈和build议? 您的反馈是非常欢迎:) 谢谢。
我正在寻找EJBCA用于生成一般私钥(CA,Sub-Ca,证书…)的方法。 比如说你想要RSA 2048的密钥大小。 生成过程是否全部在EJBCA应用程序中完成? 他们是否依赖基于Java EE的应用程序服务器随机生成(在我的情况下是Jboss)? 是否有一个地方与本地实施的随机数生成的链接,例如在Linux / dev /(u)随机? 什么是熵的水平,他们保证一个?