Комментарии 13
Decretory? Ошибка опечатка?
+2
А можно для тех кто в танке, почему нельзя было заюзать под root ca тот же pki?
0
можно было, но решение такое.
0
Ну вот как раз таки интереснее было бы узнать про мотивацию такого решения. Из за чего весь сыр бор?
0
без особой мотивации, повторюсь можно было сделать на pki.
но easy-rsa ка кто ближе, знаком по openvpn, также он кроссплатформенный, при желании можно забрать проект как есть на станцию с PKI AD-CA, и в принципе отказаться от станции с linux (что конечно не правильно). но кроссплатформенность это не довод ))
но easy-rsa ка кто ближе, знаком по openvpn, также он кроссплатформенный, при желании можно забрать проект как есть на станцию с PKI AD-CA, и в принципе отказаться от станции с linux (что конечно не правильно). но кроссплатформенность это не довод ))
0
Официально не поддерживается несколько CA на одном сервере — прямо, это вроде бы не особо где сказано, но в инструментах управления банально отсутствует возможность работы с отдельными экземплярами.
К тому же у AD CS (Active Directory Certificate Services) значительная часть параметров CA привязана не к экземпляру — конкретному центру сертификации, а к самой службе. Т.е. даже если запустить возможно, то фигня получится.
Если речь про то, чтобы не использовать промежуточные ЦС, а использовать только Root, то не особо получается поделить назначение конечных сертификатов. Не всё ПО и оборудование умеет «фильтровать» сертификаты по произвольному сочетанию параметров. А проверять именно ЦС умеют все.
К тому же у AD CS (Active Directory Certificate Services) значительная часть параметров CA привязана не к экземпляру — конкретному центру сертификации, а к самой службе. Т.е. даже если запустить возможно, то фигня получится.
Если речь про то, чтобы не использовать промежуточные ЦС, а использовать только Root, то не особо получается поделить назначение конечных сертификатов. Не всё ПО и оборудование умеет «фильтровать» сертификаты по произвольному сочетанию параметров. А проверять именно ЦС умеют все.
+1
НЛО прилетело и опубликовало эту надпись здесь
20 лет, 4096 битный RSA ключ может оказаться небезопасным: согласен на 98%.
что касается первого, посмотрим, в моей практике — сталкивался с тем что сертификат ушел в помойку через год после создания, не помню годы этого события.
easy-rsa позволяет строить на эпилептических кривых habr.com/ru/post/335906
для этого меняем параметр в vars на: set_var EASYRSA_ALGO ec (но я им не разу не пользовался — не подскажу)
но речь в публикации идет не о сертификате.
что касается первого, посмотрим, в моей практике — сталкивался с тем что сертификат ушел в помойку через год после создания, не помню годы этого события.
easy-rsa позволяет строить на эпилептических кривых habr.com/ru/post/335906
для этого меняем параметр в vars на: set_var EASYRSA_ALGO ec (но я им не разу не пользовался — не подскажу)
но речь в публикации идет не о сертификате.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Корневой сертификат удостоверяющего центра Active Directory на станции Linux