Комментарии 13
Decretory? Ошибка опечатка?
А можно для тех кто в танке, почему нельзя было заюзать под root ca тот же pki?
можно было, но решение такое.
Ну вот как раз таки интереснее было бы узнать про мотивацию такого решения. Из за чего весь сыр бор?
без особой мотивации, повторюсь можно было сделать на pki.
но easy-rsa ка кто ближе, знаком по openvpn, также он кроссплатформенный, при желании можно забрать проект как есть на станцию с PKI AD-CA, и в принципе отказаться от станции с linux (что конечно не правильно). но кроссплатформенность это не довод ))
но easy-rsa ка кто ближе, знаком по openvpn, также он кроссплатформенный, при желании можно забрать проект как есть на станцию с PKI AD-CA, и в принципе отказаться от станции с linux (что конечно не правильно). но кроссплатформенность это не довод ))
Официально не поддерживается несколько CA на одном сервере — прямо, это вроде бы не особо где сказано, но в инструментах управления банально отсутствует возможность работы с отдельными экземплярами.
К тому же у AD CS (Active Directory Certificate Services) значительная часть параметров CA привязана не к экземпляру — конкретному центру сертификации, а к самой службе. Т.е. даже если запустить возможно, то фигня получится.
Если речь про то, чтобы не использовать промежуточные ЦС, а использовать только Root, то не особо получается поделить назначение конечных сертификатов. Не всё ПО и оборудование умеет «фильтровать» сертификаты по произвольному сочетанию параметров. А проверять именно ЦС умеют все.
К тому же у AD CS (Active Directory Certificate Services) значительная часть параметров CA привязана не к экземпляру — конкретному центру сертификации, а к самой службе. Т.е. даже если запустить возможно, то фигня получится.
Если речь про то, чтобы не использовать промежуточные ЦС, а использовать только Root, то не особо получается поделить назначение конечных сертификатов. Не всё ПО и оборудование умеет «фильтровать» сертификаты по произвольному сочетанию параметров. А проверять именно ЦС умеют все.
НЛО прилетело и опубликовало эту надпись здесь
20 лет, 4096 битный RSA ключ может оказаться небезопасным: согласен на 98%.
что касается первого, посмотрим, в моей практике — сталкивался с тем что сертификат ушел в помойку через год после создания, не помню годы этого события.
easy-rsa позволяет строить на эпилептических кривых habr.com/ru/post/335906
для этого меняем параметр в vars на: set_var EASYRSA_ALGO ec (но я им не разу не пользовался — не подскажу)
но речь в публикации идет не о сертификате.
что касается первого, посмотрим, в моей практике — сталкивался с тем что сертификат ушел в помойку через год после создания, не помню годы этого события.
easy-rsa позволяет строить на эпилептических кривых habr.com/ru/post/335906
для этого меняем параметр в vars на: set_var EASYRSA_ALGO ec (но я им не разу не пользовался — не подскажу)
но речь в публикации идет не о сертификате.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Корневой сертификат удостоверяющего центра Active Directory на станции Linux