Урра, новое видео! Как раз интересуюсь сейчас организацией шифрования всего и вся в организации, где работаю. А значит придется штудировать про сертификаты. Очень своевременно, спасибо)
@ИмамШамиль-ф8с8 жыл бұрын
Спасибо! Все как всегда на высшем уровне !!
@Soul-k4t5k2 жыл бұрын
Спасибо огромное за информацию очень доступно и понятно, приятно слушать грамотного человека.
@yuriyelkin5802 жыл бұрын
Видео уроки бесценны!
@Человек-щ6и2и6 жыл бұрын
Подробно, понятно, зачёт!
@navari366 Жыл бұрын
Здравствуйте спасибо за видео, естьRootCA и subCa, у subCa заканчивается время сертификата , если я сделаю renew сертификат со старым ключом будут ли работать сертификаты выданные пользователям ? возникнут ли какие ни будь проблемы ?
@mind_traveller8 жыл бұрын
Видос супер, но где же обещанные ссылки ??
@TrainITHard8 жыл бұрын
Запамятовал, ссылки есть на сайте. Пока не могу выложить тут, так как в отпуске.
@oooarsenal2 жыл бұрын
Спасибо, можно сделать enterprise RootCA сразу выдающим на отдельной машине, чтобы не использовать subCA?
@TrainITHard2 жыл бұрын
Можно, но тогда в случае компрометации ключа вам придется менять ВСЕ сертификаты. Лучше тогда сделайте RootCA и subCA на одной машине
@alexsandrchee20363 жыл бұрын
Тупой вопрос: а как сделать промежуточный сертфикат более чем на год?
@borozynets5 жыл бұрын
Здравствуйте скажите пожалуйста , а где хранится закрытый ключ?
@shagievmarat24836 жыл бұрын
Добрый день! Скажите, какие могут быть причины не отправки запроса на подпись сертификата, как у вас в видео на 1:15:45? Никаких ошибок нет просто страница обновляется после нажатия "Submit". Я конечно реализовал этот момент по инструкции Поданса, но все же.
@TrainITHard6 жыл бұрын
Нужно смотреть логи на сервере и клиенте, так трудно сказать
@shagievmarat24836 жыл бұрын
А всего то нужно было добавить ip адреса в доверенную зону в IE с двух сторон
@aressto5 жыл бұрын
Супер видос и доходчивое объяснение. Спасибо. файлик policyCA.inf качнуть где нибудь можно?
@TrainITHard5 жыл бұрын
Если б я помнил) Примеры думаю в гугле легко ищутся
@aressto5 жыл бұрын
@@TrainITHard через часик поисков нашел, спасибо за супер материал, вы хороший наратор. И объяснение супер. Но! Невозможно поставить службу web выкатывания сертификатов на автономный центр сертификации не в домене.
@alexanderfedorov12743 жыл бұрын
Хм, у меня такой вопрос, если отозвать сертификат у ISSUE CA в случае компрометации, ну или просто если прокосячил при настройке как у меня)) как выпустить новый сертификат и цепочку доверия, вопрос интересный, ответа нигде не нашел.
@TrainITHard3 жыл бұрын
Если issuing CA - корневой, то нужно ручками или каким-то иным способом заменить локально на всех компах этот сертификат на новый. Если не корневой, можно перевыпустить сертификат issuing CA, но что произойдет с конечным сертификатами - не уверен.
@refrigerator887 Жыл бұрын
А что если у меня на домен-контроллере рутовый ЦС и я хочу схему переделать - перенести рутовый на недоменный сервер и создать нижестоящий для выпуска сертификатов. Чем такая переделка может грозить? Клиенты то все сидят с сертификатами уже выпущенными с доверием к нынешнему корневому. Какие подводные?
@TrainITHard Жыл бұрын
Нужно внимательно поизучать такой вопрос, как минимум точно надо будет перенести все списки отзыва например. ЦС на контроллере - очень частая практика, если у отдела ИБ нет требований вынести, подумайте над тем чтобы ничего не трогать :)
@inchochon93073 жыл бұрын
Запутался)) Почему когда используется один root CA и происходит компрометация его закрытого ключа необходимо только в ручную на конечных пк делать выпущенные серты недоверенными, либо ждать когда сертификаты закончат своё действие, разве нельзя внести все сертификаты в CRL на этом root CA (так можно хотя бы предупредить пользователей)? Другой вопрос если можно, то что потом делать с таким небезопасным Root CA?)) (прикрыть, забыть как страшный сон и использовать изначально секьюрити вариант?)
@TrainITHard3 жыл бұрын
Потому что рутовый сертификат не имеет CDP/CRL - чем он по вашему будет отозванный список подписывать, если он сам - верх иерархии.
@IhaveSeenFootage5 жыл бұрын
Хочу обратить внимание, что судя по всему файл CAPolicy.inf - не работает, т.к. не включено "отображать расширение файлов" и это файл CAPolicy.inf.txt, как подписано в поле 'type' - 'text document'
@eldarkarimov57913 жыл бұрын
Здравствуйте У меня возник вопрос когда пользователи обращаются каждый раз на веб сервер каждому пользователю выдается одинаковые сертификаты (публичные ключи ) или сервер каждый раз с помошью закрытого ключа новый генерирует ?
@TrainITHard3 жыл бұрын
публичный ключ один - ведь зашифрованную им информацию все равно нельзя расшифровать не зная приватного ключа
@eldarkarimov57913 жыл бұрын
@@TrainITHard понятно спасибо
@karantir29387 жыл бұрын
Обрисую ситуацию: поднимаю отдельный лес на контроллере домена специально для центра сертификации второго уровня. Корневой УЦ предоставлялся сторонней компанией и выведен на отдельный ПК. Суть в том, что мне надо наладить репликацию двух КД между собой и на обоих соответственно должен быть виндовый УЦ, чтобы в случае отказа мастер-ПК функционал со всей имеющейся информацией перешёл бы на слэйва, как на резерв. Теперь собственно сам вопрос: можно ли наладить репликацию центров сертификации да так, чтобы они были абсолютными клонами, вплоть до выданного для них сертификата от корневого УЦ? В подобном варианте исполнения я уже сомневаюсь, пока пишу этот вопрос, а потому сразу спрошу - есть ли альтернативы решения подобной диллемы? То биш мне нужен резервный УЦ со всеми данными от основы. Можно ли подобное организовать и если да, то как? Заранее благодарю
@TrainITHard7 жыл бұрын
По идее можно собрать кластер, хотя никогда так не делал. Вообще можно поднять два выдающих независимых ЦС просто. По сути резервировать нужно будет CDP/AIA, что можно и DFS'ом сделать
@karantir29387 жыл бұрын
В целом, я уже примерно решил с руководством, что проще бэкапами, да снапшотами обойтись, но теперь другая проблема. УЦ от майкрософт хотят standalone вариант. То есть структура должна быть корень - УЦ Signal-Com -> УЦ microsoft standalone -> пользователи. Но у недоменного УЦ и шаблонов соответственно нет, а значит, как я понимаю, пользователь должен заходить на веб морду и формировать запрос через расширенную форму. где надо заполнить все поля и всё в таком духе. Вот только как получить SSL сертификат для этой веб морды? Тут сугубо опыта мало и постоянно путаюсь, какие требования должны быть к расширениям SSL серта, чтобы он коректно работал на том же IIS 6 в моём случае. Ведь где-то необходимо сформировать запрос для веб морды, а формировать мне его негде по сути, ведь в УЦ майкрософт мне необходим SSL сертификат, чтобы сформировать запрос - замкнутый круг.
@Mirzoakmal7 жыл бұрын
Первый вопрос, где можно указать срок действие подчиненного сертификата? например ни год а по больше 2-3 .... Второй вопрос, если срок подчиненного сертификата заканчивается как продлить или обновить подчиненный ЦС сертификат?
@TrainITHard7 жыл бұрын
1. В шаблоне сертификата. 2. Можно сгенерировать новый запрос с сервера и выпуститься новый серт на ЦС. В пределах домена можно из консольки сертов прямо обновить.
@Mirzoakmal7 жыл бұрын
1. а где находиться этот шаблон, в корневом УЦ или в подчиненном?
@TrainITHard7 жыл бұрын
Там, где сертификат выпускается.
@Mirzoakmal7 жыл бұрын
спасибо! В шаблонах я посмотрел, изменил, но эффект один и тот же. Получилось другим способом, изменил срок выдаваемых сертификатов в реестре.
@TrainITHard7 жыл бұрын
Выдаваемый сертификат не может иметь срок больший чем сертификаты выдавшего его CA - возможно в этом дело.
@andreyandreev18007 жыл бұрын
где Вы это используете ?
@TrainITHard7 жыл бұрын
в смысле?
@andreyandreev18007 жыл бұрын
просто я не где не видел чтобы это использовали на предприятиях... обычно покупают готовые сертификаты...
@Лоло-лошка-н8э6 жыл бұрын
А в чем смысл $windows nt$ если можно сменить?
@TrainITHard6 жыл бұрын
не понял о чем вопрос?
@Лоло-лошка-н8э6 жыл бұрын
А почему сигнатуру в CAPolicy.inf нельзя сменить
@europeiz3 жыл бұрын
Два раза посмотрел это и предыдущие видео не слово про AIA
@TrainITHard3 жыл бұрын
Хм, очень странно. В этом раширении хранится ссылка на сертификат CA, издавшего конкретный сертификат. Например если у вас есть сертификат сайта, но нет серта издателя этого сертификата, то он будет получен из ссылки в AIA.
@katharinaartes47347 ай бұрын
Небольшое важное дополнение: на флэшку нельзя на долго сохранять что либо, все данные можно потерять. Используйте несколько разных видов хранителей, типа CD, магнитного плюс флэшка)
@aleks91696 жыл бұрын
Мой мир не будет прежним после просмотра трёх твоих уроков по CA, запутался окончательно, думаю зачем и кому такое нужно делать, ибо когда создаёшь domen controller всегда и так создаётся рутовый центр сертификации... А потом подумал и вспомнил что на втором и далее dc нет центра сертификации, соот-во если упадёт dc1, то и с ним ЦС... Полез смотреть а можно ли сделать кластер для ЦС, а нашёл ответ про твоё как раз видео: "Кластеров нет. В целях отказоустойчивости, по Майкрософту рекомендуется root-сервер делать не в домене, после делегирования прав на выдачу сертификатов дочернему серверу(уже в домене), нужно рутовый погасить. Для подтверждения AIA-ссылки, нужно поднять WEB-сервер(или несколько), которые и будут подтвержать запись(ссылку) AIA вместо рутового. Вот Вам и отказоустойчивость." Собственно вопросы: 1)всё что выше это относиться к 2003 винде, для выше есть же Active Directory Certificate Services Clustering, зачем такие сложности? 2)Где подобная схема используется? 3)Почти все покупают купленные сертификаты, а даже если навернётся единственный ЦС, устанавливаешь новый, выдаёшь новые сертификаты, простой конечно, но не долгий...
@TrainITHard6 жыл бұрын
С домен контроллером автоматически ничего не создается. Про кластеры - это я говорил? Можно время? По вопросам: 1. Да действительно есть, хотя я никогда не пробовал использовать для кластеризации CA. Вынесение AIA/CDP может понадобиться для сценария с DMZ, например. 2. Везде в крупных инсталляциях enterprise уровня. Пример: 1000 сотрудников, у каждого свой сертификат для подписи почты. Без PKI вы тут не особо что-то сделаете. Вынесение рута, также дает вам безопасность на случай компрометации Issuing CA - вы можете отозвать его сертификат. Эталонная инсталляция еще между root и issuing содержит policy CA. 3. Смотря под какие цели. Часто вы покупаете сертификаты для сотрудников, например?
@aleks91696 жыл бұрын
Извиняюсь, с DC новым CA не создаётся, обычно просто ставят для само подписанных сертификатов. Про кластер это моя мысль, ничего такого в видео не было, вот и задумался, но WSFC делает высокодоступной только саму службу УЦ, помимо которой есть еще AIA\CDP. Теперь с твоими ответами всё стало на своим места, просто я ещё не дорос до 1000+ человек с PKI :), насчёт покупки сертификатов да по сути редко, точнее очень редко, wildcard сертификат *.domen.ru для exchange, rds и кое каких других сервисов, для сотрудников понятное дело совсем невыгодно покупать, когда можно выдать. Спасибо огромное за ответ.
@yevhenhlazunov50655 жыл бұрын
@@aleks9169 Кластер для выдающих CA создается довольно легко. Для этого нужно поднять кластер высокой доступности с нужным количеством узлов и внешним хранилищем для БД CA. Сама же отказоустойчивость CA реализуется с помощью "Универсальной службы" кластера.
@ilyashick3178 Жыл бұрын
мои две копейки майкрософт не рекомендует IIS устанавливать на доменном контроллере
@Salen116 Жыл бұрын
да и AD с issue CA как то тоже не секьюрно, подскажите какую схему лучше придумать?