我目前正在实施EAP / TLS WIFI实施来取代我们的EAP / MSCHAP2 WIFI实施。 我正在使用Windows Server 2008,并且已经安装了证书颁发机构。 用户证书是使用组策略推送的。 无线networking策略也是使用组策略推送的。 一切工作正常,并连接到无线networking,所有的作品在客户端。 我注意到CA服务器为每个login到域的设备创build一个新的用户证书。 因此,我们假设您有两台笔记本电脑,并且都以同一用户身份login到域,它们都将具有唯一的已安装的用户证书。 即使这一切都正常,这不会造成任何问题,我真的很想知道这背后的全部想法是什么。 我期望每个用户都有一个证书,如果一个新的设备login到域,相同的证书将被发布。 如果笔记本电脑被盗,很容易撤销用户证书并创build一个新的。 在目前的情况下,我需要找出哪些证书需要撤销,这对我来说是错误的。 人们向我提到,这样做给了企业更多的灵活性,但是我还是看不到。 如果你想有多个用户证书,无论出于什么原因(例如,在不同的场景中使用它们),这可以很容易地使用不同的子CA来解决,这对我来说是一个合适的解决scheme。 除此之外,证书还用于对用户进行身份validation。 如果你使用用户名/密码系统实现相同的推理/逻辑(即每个笔记本电脑对同一用户有不同的密码),人们会认为这是非常愚蠢的。 所以,我错过了这一点。 有人可以澄清为什么这是? 是否有可能以一种方式实现这一点,即CA将重新颁发相同的证书给每个使用相同用户名对域进行身份validation的设备?
我有以下ADconfiguration: rootca(独立不连接域) mydom.local dc1.mydom.local svr1.mydom.local subca.mydom.local(企业从属CA) other.mydom.local dc1.other.mydom.local svr1.other.mydom.local 我可以注册web服务器证书确定为svr1.mydom.local,但是我login到svr1.other.mydom.local与子域pipe理员,我得到以下错误: Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012) 我认为这必须与权限相关,但是我不确定如何继续 – 允许子域pipe理员从位于父域的下级CA请求证书的最佳做法是什么? 我的inf文件如下: [NewRequest] Subject="CN=svr1.other.mydom.local" Exportable=TRUE KeyLength=2048 KeySpec=1 MachineKeySet=TRUE [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication OID=1.3.6.1.5.5.7.3.2 ; Client Authentication [RequestAttributes] CertificateTemplate = WebServer 我在svr1.other.mydom.local上运行以下命令: [email protected]如下所示: certreq […]
如果我实现了具有多级CA的PKI,是否需要为每个单独的CA拥有一个CRL,或者我可以只为整个层次结构拥有一个CRL(即将所有证书指向单个CRL),还是只有less数上层的层次?
由于SSL是互联网的骨干(现在在技术上被称为TLS),我应该阅读一些好书,以了解它的各个方面。 我想我需要学习一些math,一些PKI书籍,encryption和系统pipe理员书籍。 由于这不是一个完整的清单,我有兴趣听到你认为是明智的学习。
是否有可能在Windows Server 2012中创build多个证书颁发机构? 具体来说:我想创build一个独立的根CA,将其私钥放在离线安全存储中。 主要颁发(企业)CA应该有由根CA签名的证书。 这是可能的只有一个Windows Server 2012安装,或者你真的需要创build多个虚拟机与每个CA?
我正在使用一个需要使用secureFTP进行文件传输的客户端,并且还提倡在SFTP之上使用sLift EZ Classic(使用PKI的命令行文件encryption)。 这是过度杀伤力?
在接下来的一段时间里,我必须将AD迁移到2008架构级别。 我目前有一个x64 Windows 2008 R2域控制器和一个x32 Windows Server 2003域控制器。 x32服务器是一台甚至不支持升级到2008年的旧机器。我已经开始了我的转换计划,并安装了2台服务器(一台使用2008 R2 x64,另一台使用x64 2003)。 转移angular色没有问题,但我似乎无法将证书颁发机构(CA)转移到x64机器上。 范围 1.1。 将AD模式升级到2008。 限制 2.1。 我不能使用旧的根服务器,因为它不支持Windows Server 2008。 2.2。 由于Windows Server 2008 R2不支持x32,因此必须使用x64。 2.3。 我必须移动CA,因为我必须降级服务器。 到目前为止,我对于CA的举动做了些什么 3.1。 安装了一个x64 2008 R2,试图使CA的恢复没有工作。 它应该工作,但它不符合此TechNet 。错误消息“执行从完整映像还原之前无法执行增量映像还原。目录名称是无效的0x8007010b(WIN32 / HTTP:267)” 3.2。 安装了x64 2003,试图使CA的恢复无法正常工作,因为数据库的格式不同 。 任何想法将不胜感激,作为最后的手段,我可以保持在那里的CA,但保持服务器只为一个CAangular色似乎毫无意义。
我正在为已经拥有多个现有CA的多林环境中的子域设置新的根ADCS(Active Directory证书服务器)证书颁发机构。 我很想不再重复最后一个人的做法,即以特别的方式设置东西,并且什么都不logging,所以我正在寻找一种方法来标准化我们的CA的configuration。 为此,有没有办法查看/导出/确定Windows ADCS CA的configuration? 特别是,我似乎无法确定的设置是Private Key Cryptography options ,如在下面的设置对话框中。 现有的CA是服务器2008 R2或服务器2012 R2,所以理想/希望我正在寻找一个适用于两者的解决scheme。
我试图build立一个双层的PKI,我有很多问题。 由于存在AD的逻辑删除限制,我假设根(它将脱机)不应该是AD的一部分。 我对么? 我正在考虑的设置是一个根CA和多个中间体(用于不同的目的)。 所以,root可能是一个独立的windows标准或Linux + OpenSSL(不知道这是否可行/可取)。 其中一个中间CA是AD的一部分(自动注册等)。 所以,我的问题是: 根可以独立(不是AD的一部分)吗? 这是否会导致证书链或任何问题? 根可以是Linux + OpenSSL吗? 这会难以pipe理吗? 或者是否有对墓碑限制的解决方法? 谢谢。 请参阅: http : //blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]和http:// pki-tutorial .readthedocs.org / en / latest / advanced / index.html [2]供参考。
我们都有很多需要encryption和authentication的内部服务,由某种PKI提供。 使用不同的私钥/公钥对每个服务的安全收益是否certificate需要额外的工作? 还是每台服务器使用一个密钥对? 例如,我所有的* nix服务器上都运行着rsyslog,Bacula和Puppet。 在所有三种服务中使用通用服务器特定的密钥对是否会打开我忽略的攻击媒介?