Спасибо! Все как всегда на высшем уровне !!

Урра, новое видео! Как раз интересуюсь сейчас организацией шифрования всего и вся в организации, где работаю. А значит придется штудировать про сертификаты. Очень своевременно, спасибо)

Спасибо огромное за информацию очень доступно и понятно, приятно слушать грамотного человека.

Подробно, понятно, зачёт!

Видео уроки бесценны!

Небольшое важное дополнение: на флэшку нельзя на долго сохранять что либо, все данные можно потерять. Используйте несколько разных видов хранителей, типа CD, магнитного плюс флэшка)

Видос супер, но где же обещанные ссылки ??

Спасибо, можно сделать enterprise RootCA сразу выдающим на отдельной машине, чтобы не использовать subCA?

Хочу обратить внимание, что судя по всему файл CAPolicy.inf - не работает, т.к. не включено "отображать расширение файлов" и это файл CAPolicy.inf.txt, как подписано в поле 'type' - 'text document'

Здравствуйте спасибо за видео, естьRootCA и subCa, у subCa заканчивается время сертификата , если я сделаю renew сертификат со старым ключом будут ли работать сертификаты выданные пользователям ? возникнут ли какие ни будь проблемы ?

Супер видос и доходчивое объяснение. Спасибо. файлик policyCA.inf качнуть где нибудь можно?

Добрый день! Скажите, какие могут быть причины не отправки запроса на подпись сертификата, как у вас в видео на 1:15:45? Никаких ошибок нет просто страница обновляется после нажатия "Submit". Я конечно реализовал этот момент по инструкции Поданса, но все же.

Запутался)) Почему когда используется один root CA и происходит компрометация его закрытого ключа необходимо только в ручную на конечных пк делать выпущенные серты недоверенными, либо ждать когда сертификаты закончат своё действие, разве нельзя внести все сертификаты в CRL на этом root CA (так можно хотя бы предупредить пользователей)? Другой вопрос если можно, то что потом делать с таким небезопасным Root CA?)) (прикрыть, забыть как страшный сон и использовать изначально секьюрити вариант?)

Мой мир не будет прежним после просмотра трёх твоих уроков по CA, запутался окончательно, думаю зачем и кому такое нужно делать, ибо когда создаёшь domen controller всегда и так создаётся рутовый центр сертификации... А потом подумал и вспомнил что на втором и далее dc нет центра сертификации, соот-во если упадёт dc1, то и с ним ЦС... Полез смотреть а можно ли сделать кластер для ЦС, а нашёл ответ про твоё как раз видео: "Кластеров нет. В целях отказоустойчивости, по Майкрософту рекомендуется root-сервер делать не в домене, после делегирования прав на выдачу сертификатов дочернему серверу(уже в домене), нужно рутовый погасить. Для подтверждения AIA-ссылки, нужно поднять WEB-сервер(или несколько), которые и будут подтвержать запись(ссылку) AIA вместо рутового. Вот Вам и отказоустойчивость." Собственно вопросы: 1)всё что выше это относиться к 2003 винде, для выше есть же Active Directory Certificate Services Clustering, зачем такие сложности? 2)Где подобная схема используется? 3)Почти все покупают купленные сертификаты, а даже если навернётся единственный ЦС, устанавливаешь новый, выдаёшь новые сертификаты, простой конечно, но не долгий...

Здравствуйте скажите пожалуйста , а где хранится закрытый ключ?

Тупой вопрос: а как сделать промежуточный сертфикат более чем на год?

А что если у меня на домен-контроллере рутовый ЦС и я хочу схему переделать - перенести рутовый на недоменный сервер и создать нижестоящий для выпуска сертификатов. Чем такая переделка может грозить? Клиенты то все сидят с сертификатами уже выпущенными с доверием к нынешнему корневому. Какие подводные?

Хм, у меня такой вопрос, если отозвать сертификат у ISSUE CA в случае компрометации, ну или просто если прокосячил при настройке как у меня)) как выпустить новый сертификат и цепочку доверия, вопрос интересный, ответа нигде не нашел.

Обрисую ситуацию: поднимаю отдельный лес на контроллере домена специально для центра сертификации второго уровня. Корневой УЦ предоставлялся сторонней компанией и выведен на отдельный ПК. Суть в том, что мне надо наладить репликацию двух КД между собой и на обоих соответственно должен быть виндовый УЦ, чтобы в случае отказа мастер-ПК функционал со всей имеющейся информацией перешёл бы на слэйва, как на резерв. Теперь собственно сам вопрос: можно ли наладить репликацию центров сертификации да так, чтобы они были абсолютными клонами, вплоть до выданного для них сертификата от корневого УЦ? В подобном варианте исполнения я уже сомневаюсь, пока пишу этот вопрос, а потому сразу спрошу - есть ли альтернативы решения подобной диллемы? То биш мне нужен резервный УЦ со всеми данными от основы. Можно ли подобное организовать и если да, то как? Заранее благодарю

Здравствуйте У меня возник вопрос когда пользователи обращаются каждый раз на веб сервер каждому пользователю выдается одинаковые сертификаты (публичные ключи ) или сервер каждый раз с помошью закрытого ключа новый генерирует ?

Первый вопрос, где можно указать срок действие подчиненного сертификата? например ни год а по больше 2-3 .... Второй вопрос, если срок подчиненного сертификата заканчивается как продлить или обновить подчиненный ЦС сертификат?

где Вы это используете ?

Два раза посмотрел это и предыдущие видео не слово про AIA

А в чем смысл $windows nt$ если можно сменить?

мои две копейки майкрософт не рекомендует IIS устанавливать на доменном контроллере