Урра, новое видео! Как раз интересуюсь сейчас организацией шифрования всего и вся в организации, где работаю. А значит придется штудировать про сертификаты. Очень своевременно, спасибо)
Небольшое важное дополнение: на флэшку нельзя на долго сохранять что либо, все данные можно потерять. Используйте несколько разных видов хранителей, типа CD, магнитного плюс флэшка)
Хочу обратить внимание, что судя по всему файл CAPolicy.inf - не работает, т.к. не включено "отображать расширение файлов" и это файл CAPolicy.inf.txt, как подписано в поле 'type' - 'text document'
Здравствуйте спасибо за видео, естьRootCA и subCa, у subCa заканчивается время сертификата , если я сделаю renew сертификат со старым ключом будут ли работать сертификаты выданные пользователям ? возникнут ли какие ни будь проблемы ?
@@TrainITHard через часик поисков нашел, спасибо за супер материал, вы хороший наратор. И объяснение супер. Но! Невозможно поставить службу web выкатывания сертификатов на автономный центр сертификации не в домене.
Добрый день! Скажите, какие могут быть причины не отправки запроса на подпись сертификата, как у вас в видео на 1:15:45? Никаких ошибок нет просто страница обновляется после нажатия "Submit". Я конечно реализовал этот момент по инструкции Поданса, но все же.
Запутался)) Почему когда используется один root CA и происходит компрометация его закрытого ключа необходимо только в ручную на конечных пк делать выпущенные серты недоверенными, либо ждать когда сертификаты закончат своё действие, разве нельзя внести все сертификаты в CRL на этом root CA (так можно хотя бы предупредить пользователей)? Другой вопрос если можно, то что потом делать с таким небезопасным Root CA?)) (прикрыть, забыть как страшный сон и использовать изначально секьюрити вариант?)
Мой мир не будет прежним после просмотра трёх твоих уроков по CA, запутался окончательно, думаю зачем и кому такое нужно делать, ибо когда создаёшь domen controller всегда и так создаётся рутовый центр сертификации... А потом подумал и вспомнил что на втором и далее dc нет центра сертификации, соот-во если упадёт dc1, то и с ним ЦС... Полез смотреть а можно ли сделать кластер для ЦС, а нашёл ответ про твоё как раз видео: "Кластеров нет. В целях отказоустойчивости, по Майкрософту рекомендуется root-сервер делать не в домене, после делегирования прав на выдачу сертификатов дочернему серверу(уже в домене), нужно рутовый погасить. Для подтверждения AIA-ссылки, нужно поднять WEB-сервер(или несколько), которые и будут подтвержать запись(ссылку) AIA вместо рутового. Вот Вам и отказоустойчивость." Собственно вопросы: 1)всё что выше это относиться к 2003 винде, для выше есть же Active Directory Certificate Services Clustering, зачем такие сложности? 2)Где подобная схема используется? 3)Почти все покупают купленные сертификаты, а даже если навернётся единственный ЦС, устанавливаешь новый, выдаёшь новые сертификаты, простой конечно, но не долгий...
С домен контроллером автоматически ничего не создается. Про кластеры - это я говорил? Можно время? По вопросам: 1. Да действительно есть, хотя я никогда не пробовал использовать для кластеризации CA. Вынесение AIA/CDP может понадобиться для сценария с DMZ, например. 2. Везде в крупных инсталляциях enterprise уровня. Пример: 1000 сотрудников, у каждого свой сертификат для подписи почты. Без PKI вы тут не особо что-то сделаете. Вынесение рута, также дает вам безопасность на случай компрометации Issuing CA - вы можете отозвать его сертификат. Эталонная инсталляция еще между root и issuing содержит policy CA. 3. Смотря под какие цели. Часто вы покупаете сертификаты для сотрудников, например?
Извиняюсь, с DC новым CA не создаётся, обычно просто ставят для само подписанных сертификатов. Про кластер это моя мысль, ничего такого в видео не было, вот и задумался, но WSFC делает высокодоступной только саму службу УЦ, помимо которой есть еще AIA\CDP. Теперь с твоими ответами всё стало на своим места, просто я ещё не дорос до 1000+ человек с PKI :), насчёт покупки сертификатов да по сути редко, точнее очень редко, wildcard сертификат *.domen.ru для exchange, rds и кое каких других сервисов, для сотрудников понятное дело совсем невыгодно покупать, когда можно выдать. Спасибо огромное за ответ.
@@aleks9169 Кластер для выдающих CA создается довольно легко. Для этого нужно поднять кластер высокой доступности с нужным количеством узлов и внешним хранилищем для БД CA. Сама же отказоустойчивость CA реализуется с помощью "Универсальной службы" кластера.
А что если у меня на домен-контроллере рутовый ЦС и я хочу схему переделать - перенести рутовый на недоменный сервер и создать нижестоящий для выпуска сертификатов. Чем такая переделка может грозить? Клиенты то все сидят с сертификатами уже выпущенными с доверием к нынешнему корневому. Какие подводные?
Нужно внимательно поизучать такой вопрос, как минимум точно надо будет перенести все списки отзыва например. ЦС на контроллере - очень частая практика, если у отдела ИБ нет требований вынести, подумайте над тем чтобы ничего не трогать :)
Хм, у меня такой вопрос, если отозвать сертификат у ISSUE CA в случае компрометации, ну или просто если прокосячил при настройке как у меня)) как выпустить новый сертификат и цепочку доверия, вопрос интересный, ответа нигде не нашел.
Если issuing CA - корневой, то нужно ручками или каким-то иным способом заменить локально на всех компах этот сертификат на новый. Если не корневой, можно перевыпустить сертификат issuing CA, но что произойдет с конечным сертификатами - не уверен.
Обрисую ситуацию: поднимаю отдельный лес на контроллере домена специально для центра сертификации второго уровня. Корневой УЦ предоставлялся сторонней компанией и выведен на отдельный ПК. Суть в том, что мне надо наладить репликацию двух КД между собой и на обоих соответственно должен быть виндовый УЦ, чтобы в случае отказа мастер-ПК функционал со всей имеющейся информацией перешёл бы на слэйва, как на резерв. Теперь собственно сам вопрос: можно ли наладить репликацию центров сертификации да так, чтобы они были абсолютными клонами, вплоть до выданного для них сертификата от корневого УЦ? В подобном варианте исполнения я уже сомневаюсь, пока пишу этот вопрос, а потому сразу спрошу - есть ли альтернативы решения подобной диллемы? То биш мне нужен резервный УЦ со всеми данными от основы. Можно ли подобное организовать и если да, то как? Заранее благодарю
По идее можно собрать кластер, хотя никогда так не делал. Вообще можно поднять два выдающих независимых ЦС просто. По сути резервировать нужно будет CDP/AIA, что можно и DFS'ом сделать
В целом, я уже примерно решил с руководством, что проще бэкапами, да снапшотами обойтись, но теперь другая проблема. УЦ от майкрософт хотят standalone вариант. То есть структура должна быть корень - УЦ Signal-Com -> УЦ microsoft standalone -> пользователи. Но у недоменного УЦ и шаблонов соответственно нет, а значит, как я понимаю, пользователь должен заходить на веб морду и формировать запрос через расширенную форму. где надо заполнить все поля и всё в таком духе. Вот только как получить SSL сертификат для этой веб морды? Тут сугубо опыта мало и постоянно путаюсь, какие требования должны быть к расширениям SSL серта, чтобы он коректно работал на том же IIS 6 в моём случае. Ведь где-то необходимо сформировать запрос для веб морды, а формировать мне его негде по сути, ведь в УЦ майкрософт мне необходим SSL сертификат, чтобы сформировать запрос - замкнутый круг.
Здравствуйте У меня возник вопрос когда пользователи обращаются каждый раз на веб сервер каждому пользователю выдается одинаковые сертификаты (публичные ключи ) или сервер каждый раз с помошью закрытого ключа новый генерирует ?
Первый вопрос, где можно указать срок действие подчиненного сертификата? например ни год а по больше 2-3 .... Второй вопрос, если срок подчиненного сертификата заканчивается как продлить или обновить подчиненный ЦС сертификат?
1. В шаблоне сертификата. 2. Можно сгенерировать новый запрос с сервера и выпуститься новый серт на ЦС. В пределах домена можно из консольки сертов прямо обновить.
Хм, очень странно. В этом раширении хранится ссылка на сертификат CA, издавшего конкретный сертификат. Например если у вас есть сертификат сайта, но нет серта издателя этого сертификата, то он будет получен из ссылки в AIA.
![[Windows Server 2012 basics] Урок 11, часть 2 - Web Server, CA - CDP, AIA](http://i.ytimg.com/vi/bpzFfODvQms/mqdefault.jpg)
![[Windows Server 2012 basics] Урок 11, часть 2 - Web Server, CA - CDP, AIA](/img/tr.png)
Спасибо! Все как всегда на высшем уровне !!
Урра, новое видео! Как раз интересуюсь сейчас организацией шифрования всего и вся в организации, где работаю. А значит придется штудировать про сертификаты. Очень своевременно, спасибо)
Спасибо огромное за информацию очень доступно и понятно, приятно слушать грамотного человека.
Подробно, понятно, зачёт!
Видео уроки бесценны!
Небольшое важное дополнение: на флэшку нельзя на долго сохранять что либо, все данные можно потерять. Используйте несколько разных видов хранителей, типа CD, магнитного плюс флэшка)
Видос супер, но где же обещанные ссылки ??
Запамятовал, ссылки есть на сайте. Пока не могу выложить тут, так как в отпуске.
Спасибо, можно сделать enterprise RootCA сразу выдающим на отдельной машине, чтобы не использовать subCA?
Можно, но тогда в случае компрометации ключа вам придется менять ВСЕ сертификаты. Лучше тогда сделайте RootCA и subCA на одной машине
Хочу обратить внимание, что судя по всему файл CAPolicy.inf - не работает, т.к. не включено "отображать расширение файлов" и это файл CAPolicy.inf.txt, как подписано в поле 'type' - 'text document'
Здравствуйте спасибо за видео, естьRootCA и subCa, у subCa заканчивается время сертификата , если я сделаю renew сертификат со старым ключом будут ли работать сертификаты выданные пользователям ? возникнут ли какие ни будь проблемы ?
Супер видос и доходчивое объяснение. Спасибо. файлик policyCA.inf качнуть где нибудь можно?
Если б я помнил) Примеры думаю в гугле легко ищутся
@@TrainITHard через часик поисков нашел, спасибо за супер материал, вы хороший наратор. И объяснение супер.
Но! Невозможно поставить службу web выкатывания сертификатов на автономный центр сертификации не в домене.
Добрый день!
Скажите, какие могут быть причины не отправки запроса на подпись сертификата, как у вас в видео на 1:15:45? Никаких ошибок нет просто страница обновляется после нажатия "Submit". Я конечно реализовал этот момент по инструкции Поданса, но все же.
Нужно смотреть логи на сервере и клиенте, так трудно сказать
А всего то нужно было добавить ip адреса в доверенную зону в IE с двух сторон
Запутался)) Почему когда используется один root CA и происходит компрометация его закрытого ключа необходимо только в ручную на конечных пк делать выпущенные серты недоверенными, либо ждать когда сертификаты закончат своё действие, разве нельзя внести все сертификаты в CRL на этом root CA (так можно хотя бы предупредить пользователей)?
Другой вопрос если можно, то что потом делать с таким небезопасным Root CA?)) (прикрыть, забыть как страшный сон и использовать изначально секьюрити вариант?)
Потому что рутовый сертификат не имеет CDP/CRL - чем он по вашему будет отозванный список подписывать, если он сам - верх иерархии.
Мой мир не будет прежним после просмотра трёх твоих уроков по CA, запутался окончательно, думаю зачем и кому такое нужно делать, ибо когда создаёшь domen controller всегда и так создаётся рутовый центр сертификации... А потом подумал и вспомнил что на втором и далее dc нет центра сертификации, соот-во если упадёт dc1, то и с ним ЦС... Полез смотреть а можно ли сделать кластер для ЦС, а нашёл ответ про твоё как раз видео:
"Кластеров нет. В целях отказоустойчивости, по Майкрософту рекомендуется root-сервер делать не в домене, после делегирования прав на выдачу сертификатов дочернему серверу(уже в домене), нужно рутовый погасить. Для подтверждения AIA-ссылки, нужно поднять WEB-сервер(или несколько), которые и будут подтвержать запись(ссылку) AIA вместо рутового. Вот Вам и отказоустойчивость."
Собственно вопросы:
1)всё что выше это относиться к 2003 винде, для выше есть же Active Directory Certificate Services Clustering, зачем такие сложности?
2)Где подобная схема используется?
3)Почти все покупают купленные сертификаты, а даже если навернётся единственный ЦС, устанавливаешь новый, выдаёшь новые сертификаты, простой конечно, но не долгий...
С домен контроллером автоматически ничего не создается.
Про кластеры - это я говорил? Можно время?
По вопросам:
1. Да действительно есть, хотя я никогда не пробовал использовать для кластеризации CA. Вынесение AIA/CDP может понадобиться для сценария с DMZ, например.
2. Везде в крупных инсталляциях enterprise уровня. Пример: 1000 сотрудников, у каждого свой сертификат для подписи почты. Без PKI вы тут не особо что-то сделаете. Вынесение рута, также дает вам безопасность на случай компрометации Issuing CA - вы можете отозвать его сертификат. Эталонная инсталляция еще между root и issuing содержит policy CA.
3. Смотря под какие цели. Часто вы покупаете сертификаты для сотрудников, например?
Извиняюсь, с DC новым CA не создаётся, обычно просто ставят для само подписанных сертификатов. Про кластер это моя мысль, ничего такого в видео не было, вот и задумался, но WSFC делает высокодоступной только саму службу УЦ, помимо которой есть еще AIA\CDP. Теперь с твоими ответами всё стало на своим места, просто я ещё не дорос до 1000+ человек с PKI :), насчёт покупки сертификатов да по сути редко, точнее очень редко, wildcard сертификат *.domen.ru для exchange, rds и кое каких других сервисов, для сотрудников понятное дело совсем невыгодно покупать, когда можно выдать. Спасибо огромное за ответ.
@@aleks9169 Кластер для выдающих CA создается довольно легко. Для этого нужно поднять кластер высокой доступности с нужным количеством узлов и внешним хранилищем для БД CA. Сама же отказоустойчивость CA реализуется с помощью "Универсальной службы" кластера.
Здравствуйте скажите пожалуйста , а где хранится закрытый ключ?
Тупой вопрос: а как сделать промежуточный сертфикат более чем на год?
А что если у меня на домен-контроллере рутовый ЦС и я хочу схему переделать - перенести рутовый на недоменный сервер и создать нижестоящий для выпуска сертификатов. Чем такая переделка может грозить? Клиенты то все сидят с сертификатами уже выпущенными с доверием к нынешнему корневому. Какие подводные?
Нужно внимательно поизучать такой вопрос, как минимум точно надо будет перенести все списки отзыва например. ЦС на контроллере - очень частая практика, если у отдела ИБ нет требований вынести, подумайте над тем чтобы ничего не трогать :)
Хм, у меня такой вопрос, если отозвать сертификат у ISSUE CA в случае компрометации, ну или просто если прокосячил при настройке как у меня)) как выпустить новый сертификат и цепочку доверия, вопрос интересный, ответа нигде не нашел.
Если issuing CA - корневой, то нужно ручками или каким-то иным способом заменить локально на всех компах этот сертификат на новый. Если не корневой, можно перевыпустить сертификат issuing CA, но что произойдет с конечным сертификатами - не уверен.
Обрисую ситуацию: поднимаю отдельный лес на контроллере домена специально для центра сертификации второго уровня. Корневой УЦ предоставлялся сторонней компанией и выведен на отдельный ПК. Суть в том, что мне надо наладить репликацию двух КД между собой и на обоих соответственно должен быть виндовый УЦ, чтобы в случае отказа мастер-ПК функционал со всей имеющейся информацией перешёл бы на слэйва, как на резерв.
Теперь собственно сам вопрос: можно ли наладить репликацию центров сертификации да так, чтобы они были абсолютными клонами, вплоть до выданного для них сертификата от корневого УЦ? В подобном варианте исполнения я уже сомневаюсь, пока пишу этот вопрос, а потому сразу спрошу - есть ли альтернативы решения подобной диллемы? То биш мне нужен резервный УЦ со всеми данными от основы. Можно ли подобное организовать и если да, то как? Заранее благодарю
По идее можно собрать кластер, хотя никогда так не делал. Вообще можно поднять два выдающих независимых ЦС просто. По сути резервировать нужно будет CDP/AIA, что можно и DFS'ом сделать
В целом, я уже примерно решил с руководством, что проще бэкапами, да снапшотами обойтись, но теперь другая проблема. УЦ от майкрософт хотят standalone вариант. То есть структура должна быть корень - УЦ Signal-Com -> УЦ microsoft standalone -> пользователи. Но у недоменного УЦ и шаблонов соответственно нет, а значит, как я понимаю, пользователь должен заходить на веб морду и формировать запрос через расширенную форму. где надо заполнить все поля и всё в таком духе. Вот только как получить SSL сертификат для этой веб морды? Тут сугубо опыта мало и постоянно путаюсь, какие требования должны быть к расширениям SSL серта, чтобы он коректно работал на том же IIS 6 в моём случае. Ведь где-то необходимо сформировать запрос для веб морды, а формировать мне его негде по сути, ведь в УЦ майкрософт мне необходим SSL сертификат, чтобы сформировать запрос - замкнутый круг.
Здравствуйте У меня возник вопрос когда пользователи обращаются каждый раз на веб сервер каждому пользователю выдается одинаковые сертификаты (публичные ключи ) или сервер каждый раз с помошью закрытого ключа новый генерирует ?
публичный ключ один - ведь зашифрованную им информацию все равно нельзя расшифровать не зная приватного ключа
@@TrainITHard понятно спасибо
Первый вопрос, где можно указать срок действие подчиненного сертификата? например ни год а по больше 2-3 .... Второй вопрос, если срок подчиненного сертификата заканчивается как продлить или обновить подчиненный ЦС сертификат?
1. В шаблоне сертификата.
2. Можно сгенерировать новый запрос с сервера и выпуститься новый серт на ЦС. В пределах домена можно из консольки сертов прямо обновить.
1. а где находиться этот шаблон, в корневом УЦ или в подчиненном?
Там, где сертификат выпускается.
спасибо! В шаблонах я посмотрел, изменил, но эффект один и тот же. Получилось другим способом, изменил срок выдаваемых сертификатов в реестре.
Выдаваемый сертификат не может иметь срок больший чем сертификаты выдавшего его CA - возможно в этом дело.
где Вы это используете ?
в смысле?
просто я не где не видел чтобы это использовали на предприятиях... обычно покупают готовые сертификаты...
Два раза посмотрел это и предыдущие видео не слово про AIA
Хм, очень странно. В этом раширении хранится ссылка на сертификат CA, издавшего конкретный сертификат. Например если у вас есть сертификат сайта, но нет серта издателя этого сертификата, то он будет получен из ссылки в AIA.
А в чем смысл $windows nt$ если можно сменить?
не понял о чем вопрос?
А почему сигнатуру в CAPolicy.inf нельзя сменить
мои две копейки майкрософт не рекомендует IIS устанавливать на доменном контроллере
да и AD с issue CA как то тоже не секьюрно, подскажите какую схему лучше придумать?