Questions tagged «ad-certificate-services»

3
使用Windows AD证书服务分发根证书
Windows Server提供了证书颁发机构服务。但是,从其文档中尚不清楚根证书如何(或是否)分发给客户端。 域成员计算机是否自动信任根证书? 如果是这样,他们如何以及何时获得证书? 要安装或信任根证书是否需要任何用户交互? 客户端是否轮询Active Directory?在AD DNS中吗? 它只会在登录时得到吗? 如果域成员远程VPN到LAN怎么办? 是否有针对不同版本的Windows客户端的警告?

1
如何找出证书申请的来源
我在Server 2012 R2上安装了CA,运行服务器的人离开了公司,并安装了新的CA服务器。 我试图弄清楚证书用于什么系统/ URL。 在颁发的证书列表中,以下内容: 要求编号:71 请求者名称:DOMAIN \ UserName 证书模板:基本EFS(EFS) 序列号:5f00000047c60993f6dff61ddb000000000047 证书生效日期:11/05/2015 8:46 证书到期日期:2016年11月4日8:46 签发国家/地区: 签发机构: 下达的组织单位:组织用户员工 颁发的通用名称:员工名称<-员工的正式名称 发行城市: 签发国家: 发出的电子邮件地址: 当我问员工为什么他们要求证书时,他们不记得它为什么要使用什么系统。 我正在寻找一种方法来查看所有请求的证书以及它们绑定到的计算机: 我尝试过的事情/ Googled: 与Netstat相似的命令可以告诉我在443上与服务器的任何侦听或已建立的连接,但根据我的逻辑和思想,我可能已经走了。 我通过事件查看器查看了“证书生效日期:2015/11/5 8:46”时间戳,但找不到任何显示任何内容的日志。 我试图使用certutil命令查看数据库,但是在查看数据库之前,我必须停止该服务,查看该架构,它看起来像很多我正在寻找的信息。 如果我停止服务,SSL证书仍然可以通过还是最终用户会收到该SSL警告? 如果我备份数据库,可以将文件移到另一台PC上并能够读取它。 有谁知道我是否能够使用我的CA上的证书找到哪些服务器/ URL? 我可以找到其他更好的方法吗?

1
域控制器(DC)将证书用于什么目的?
每个人都在谈论域控制器,他们应该安装一个证书,但是到最后,它是可选的。安装后,该证书实际使用什么?我的理解是至少需要: 智能卡身份验证 LDAPS 但是,我想知道域控制器使用证书的DC或Active Directory是否有特定的本机操作? 我知道这里的安全隐患/良好实践:)我只是对游戏机制感兴趣。

1
certutil -ping失败,超时30秒-怎么办?
我的Win7盒子上的证书存储区一直在挂。观察: C:\> 1.cmd C:\> certutil-?| findstr / i ping -ping-Ping Active Directory证书服务请求界面 -pingadmin-Ping Active Directory证书服务管理界面 C:\>设置PROMPT = $ P($ t)$ G C:\(13:04:28.57)> certutil -ping CertUtil:-ping命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:04:58.68)> certutil -pingadmin CertUtil:-pingadmin命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:05:28.79)>设置PROMPT = $ P $ G C:\> 说明: 第一条命令显示你有–ping和–pingadmin参数的certutil 尝试任何ping参数失败,并显示30秒超时(在提示符中显示当前时间) 这是一个严重的问题。它把我所有的安全通信都搞砸了。如果有人知道如何解决-请分享。 谢谢。 聚苯乙烯 1.cmd只是这些命令的一部分: certutil -? | findstr /i …

1
当根CA到期时,代码签名证书会怎样?
到目前为止,对我来说很清楚:如果代码签名证书本身已过期,则签名/带有时间戳的代码将被验证/接受。如果不是,则签名代码也过期。 但是,如果我的CA本身到期(根CA和由此发行的CA),会发生什么? 带有时间戳的代码仍会被接受吗? 是否必须仍然存在过期的根证书和颁发CA证书(例如,在受信任的根ca证书存储中)?这是我的假设,即使CA可能会降级,执行签名的客户端仍必须信任CA?否则,信任链将被破坏,对吗? 缺少CRL或AIA是否会带来任何问题?

1
使用证书保护所需状态配置中的凭据
我是DSC的新手,正在尝试弄清楚如何使它对我们有用。 我所坚持的是如何实际保护凭据。我目前的理解是,这还不是很好。 三大问题是这些。使用公共密钥作为解密源如何真正保护那些凭据?哪些计算机在推和拉方案中需要证书?鉴于这些问题,处理凭证的最佳实践是什么? 使用证书的公共密钥可以很好地验证传输源。但是,将其用作解密密钥意味着对证书公用密钥的访问决定了对密码的访问。 如果必须将证书推送到需要解密MOF文件的每台计算机,那么有什么方法可以阻止普通用户访问证书并能够解密MOF?说活动目录安全性意味着您最好以纯文本形式保留它,而仅依靠AD安全性。 有人可以帮我解决这个问题吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.