Чтобы добавлять сообщения и комментарии, .

@OCTAGRAM:
OCTAGRAM

Cписок аккредитованных удостоверяющих центров Минкомсвязи
Мучил меня вопрос: вот, допустим, не пускают нас в какие–то корневые сертификаты, ну вот а взяли бы мы сами сделали браузер, который из коробки поддерживает ГОСТ и доверяет нужным сертификатам. Или дистрибутив OS. Или инсталлятор, который установит сертификаты в хранилище корневых сертификатов, и будем распространять вместе со своими программами вместо куда менее полезных Яндекс.Баров. И вопрос был: а каким именно корневым сертификатам? Где список?

Ну у нас же есть электронные подписи в принципе, если отбросить ПО и сайты. Нашёл. Сначала думал, есть один сертификат Минкомсвязи, а от него через одно–два звена подписываются сертификаты удостоверяющих центров, а они дальше — конечным пользователям. Нет. Скачал корневые сертификаты БТП, ковырнул, а они там — самоподписанные. Стало быть, такой браузер или OS должен будет импортировать штук 415 сертификатов, вот сколько есть в реестре аккредитованных УЦ, да ещё у каждого по несколько с разным периодом годности. И никакого CRL, только парсить .xls если. И архив с корневыми сертификатами сходу не обнаруживается, это у каждого из 415 надо с сайта скачать и периодически обновлять.

Но что ещё ожидаемо, вот так сходу у них сертификат для сайта или для подписи ПО я не вижу, как получить здесь, например, хотя вот здесь я читаю, как разработчик подписывает ПО по ГОСТу. Толку от добавления корневого сертификата в доверенные, если УЦ не даёт сертификаты для сайтов и подписи ПО.

@OCTAGRAM:
OCTAGRAM

Посмотрел, каким корневым сертификатам есть доверие в разных средах исполнения, в первую очередь, Windows, и заметил, что среди них нет российских. RU-CENTER, ЛидерТелеком, Инвеб (isplicense.ru) и т. п. просто перепродают их, ну, может быть, делая скидку за счёт того, что им как–то проще документы проверить, зная местную специфику. Вот бы здорово через ГосУслуги на шару получать. Ведь там и так уже проверили личность. Но для этого надо ещё потрудиться над суверенитетом.

@OCTAGRAM:
OCTAGRAM

Генерация многодоменных сертификатов без этих ваших конфигурационных файлов

@Dant:
Dant

В Remote Desktop Connection Manager 2.7 пропала несекурная возможность хранить пороли сессий в XML-конфиге в открытом виде, в связи с чем можно поиметь некоторое количество секеса, при импорте RDG-файлика версии 2.2.

В моем случае, пароли сохраненные плейнтекстом переехали нормально, а пароли, зашифрованные через учетные данные пользователя — нет.

Если есть желание хоронить пароли и далее, нужно использовать сертификат для их шифрования и хранить его вместе с RDG, который генерится тулзой из Windows SDK:

makecert -sky exchange -e 01/01/2101 -r -pe -a sha1 -len 2048 -ss my -n "CN=RDCManCert"
microsoft.com

@Dant:
Dant

Чистка базы Win CA от наносного, левого и ненужного:

Removing Expired Certificates from the CA Database: blogs.technet.com

Some tips for troubleshooting AD CS: dizdarevic.ba

Microsoft CA database cleanup: ammarhasayen.com

Complete Microsoft Certificate Authority maintenance procedure: sysengblog.wordpress.com

@Dant:
Dant

Extracting Certificate and Private Key Files from a .pfx File: pastebin.com

wiki.cac.washington.edu
openssl.org
slproweb.com

@Dant:
Dant

Редирект на подкаталог и/или https в IIS-ах, полезно для всяких OWA, CA Web Enrollment etc:

HTTP to HTTPS redirects on IIS 7.x and higher: blogs.msdn.com
IIS7 Redirect HTTP to HTTPS: sslshopper.com

URL Rewrite: iis.net
HTTP Redirects: iis.net

@Dant:
Dant

SHA1 скоро фсе, нада переколбашивать CA и переходить на SHA2:

Migrating your Certification Authority Hashing Algorithm from SHA1 to SHA2: blogs.technet.com

SHA1 Deprecation Policy: blogs.technet.com

@Dant:
Dant

Обнаружил тут, что при бакапе 2012R2 CA не происходит обрезания у транзакшн-логов базы, хотя, по-идее, должно бы. Оказывается, то не бага, а фича и если не хочется такого — нужно рестартовать сервис CA в скрипте бакапа. Век жыви, чо )

en-us.sysadmins.lv

ЗЫЖ Скрипт бакапа CA, слепленный на коленке из г-на и п-лок: pastebin.com

@Dant:
Dant

Установка стороннего корневого сертификата на ондроед, без обязательного включения секурити пин-кодов, поролей, скрин-локов и прочей подобной радости. Андроид без рута — неюзабелен, многократно убедился уже 100 раз как минимум )))

wiki.pcprobleemloos.nl

@Dant:
Dant

Certificate Enrollment Web Services in Windows Server 2008 R2: aka.ms

microsoft.com

@Dant:
Dant

Install Public Key Infrastructure using Active Directory Certificate Services Step By Step:

randomtechtips.com
randomtechtips.com
randomtechtips.com

@Dant:
Dant

The DOs and DON’Ts of PKI Microsoft ADCS: kazmierczak.eu

PKI – Key Recovery Agents KRA: ammarhasayen.com

Deploying an AD CS Two-Tier PKI Hierarchy: technet.microsoft.com
Active Directory Certificate Services Migration Guide: technet.microsoft.com

Designing and Implementing a PKI: blogs.technet.com

AD CS and PKI Step-by-Steps, Labs, Walkthroughs, HowTo, and Examples: social.technet.microsoft.com

@Dant:
Dant

Настройка CA Web Enrollment, когда CA и IIS находятся на разных серверах:

AD/CS Web Enrollment Delegation: css-security.com

How to configure the Windows Server 2008 CA Web Enrollment Proxy: blogs.technet.com

How to disable "This Web site is attempting to perform a digital certificate operation on your behalf" message:
blogs.msdn.com

social.technet.microsoft.com

@k1lg0reTr0ut:
k1lg0reTr0ut

а подскажите плиз, есть такой контейнер в винде: Trusted Root Certification Authorities.
Еще есть Intermediate.
Консоль "Сертификаты" в винде можно открыть от имени юзера и имени компьютера.
Вопрос: для юзера и компьютера эти контейнеры одинаковы?
Исходя из ответа на первый вопрос, еще один вопрос, если они разные, то сертификаты, которые раздаются через GP куда ложаться? в юзерские или компьютерные?
А если я распространяю сертификат, а он уже у меня есть, то он задваивается. Это нормально?
А если я хочу через политики распространить корневой сертификт только для пользователя?

@Dant:
Dant

Какой адов ппц — хром не работает от слов "почти никак" с startssl.com ) Ла-ла-ла, ИЕ форевер ))

Буду терь генерить сертификаты для всякого, ибо зае^W надоели самопально подписанные: dantpro.startssl.com

Хавту тут: valera.ws

@Dant:
Dant

Enterprise PKI with Windows Server 2012 R2 Active Directory Certificate Services:

blogs.technet.com
blogs.technet.com

Deploying Enterprise PKI on Windows Server 2012 R2: flexecom.com

Active Directory Certificate Services Overview: technet.microsoft.com

@Dant:
Dant

Securing Public Key Infrastructure: aka.ms
technet.microsoft.com

Securing Active Directory An Overview of Best Practices: aka.ms
technet.microsoft.com

@k1lg0reTr0ut:
k1lg0reTr0ut

предположим, что я сделаю RootCA, без доступа к сети, не в домене, и вообще выключенный.
у меня еще парочка SubCA, которые в домене, заверены рутом, выдают сертификаты и все хорошо.
вопрос, где тогда должны храниться списки отозванных сертификатов?
вроде же они должны собираться на руте? если да, то как их публиковать без сети? вручную переносить на subca?

@ArkanoiD:
ArkanoiD

OMFG. прочитал про чувака, который на коленке сделал data diode из аудио провода, чтобы публиковать CRL с offline root

@Dant:
Dant

PowerShell PKI Module: pspki.codeplex.com

@Dant:
Dant

Пра настройку RDP & TLS/SSL:

Configuring Remote Desktop certificates: blogs.msdn.com

RDP with custom certificate in Windows 7: social.technet.microsoft.com

interface31.ru

@Dant:
Dant

Пра выпуск сертификатов с SAN:

How to Request a Certificate With a Custom Subject Alternative Name: technet.microsoft.com

Configure Windows based Certification Authority to issue SAN certificates: msexchangegeek.com

SAN Certificate for IIS: techontip.wordpress.com

SAN: social.technet.microsoft.com

Processing Domain Controller Certificates: technet.microsoft.com

@Dant:
Dant

Годное введение в аутентификацию по клиентским сертификатам и прочим е-токенам : )
sysadmins.lv
sysadmins.lv

@Dant:
Dant

How to Request a Certificate With a Custom Subject Alternative Name — technet.microsoft.com

How to include the Subject Alternative Name (SAN) parameter through the MMC Certificate Enrollment — social.technet.microsoft.com

How to add a Subject Alternative Name to a secure LDAP certificate — support.microsoft.com

@Dant:
Dant

Windows Server 2008 PKI and Certificate Security — mcp.su

Огромадной полезности статьи за инфраструктуру 2008 PKI, сертификаты, смарт-карты, токены и аналогичную ересь:
sysadmins.lv

@Dant:
Dant

Certificates — technet.microsoft.com

@Dant:
Dant

Smart card/e-token certificates for domain logon/authentication:

microsoft.com
social.technet.microsoft.com

@Dant:
Dant

Про Windows 2008 PKI и выпуск сертификатов пользователей для зашивания в токены и смарт-карты:

Enroll On Behalf: sysadmins.lv

AD CS Restricted Enrollment Agent: technet.microsoft.com
AD CS Enhancements in W2K8: microsoft.com

Инфраструктура PKI: chla.ru

@Dant:
Dant

How to Configure Certificate Based Authentication for OWA

blogs.technet.com
blogs.technet.com

support.microsoft.com

@toxin:
toxin

Протестировал миграцию ADDS+ADCS(PKI) под Windows Server 2008 на Windows Server 2008R2.

@Dant:
Dant

The Smart Card Deployment Cookbook: technet.microsoft.com

@Dant:
Dant

Designing and Implementing a Windows 2008 PKI Infrastructure:

Part I Design and Planning: blogs.technet.com
Part II Implementation and CA Installation: blogs.technet.com
Part III Certificate Templates: blogs.technet.com
Part IV Web Enrollment and Enabling Key Archival: blogs.technet.com

@infidel:
infidel

Вебмани совсем долбанулись на голову. Мало того, что процедура продления сертификата X.509 для доступа к кошельку из браузера у них может выполняться только в двухнедельный зазор накануне срока истечения действия и требует именно IE (но не работает в восьмой версии, тем не менее), так еще и новый сертификат мне выдали со сроком действия 2 (два) месяца вместо обычного года.
Мне что, отныне этот ритуальный танец — поиск где-нибудь более-менее доверенной XP с шестым ИЕ и в интернете, импорт туда истекающего серта и реэкспорт потом продленного — теперь раз в два месяца исполнять? А почему не ежедневно, для вящей безопасности?

@Dant:
Dant

Доходят до PKI руки и ноги. Гурустно мине : ) Когда будет подобная дока для 2k8 интересна?
technet.microsoft.com
go.microsoft.com

@Dant:
Dant

Оказываетцо виста/7 не хотят работать с дефолтной веб-страничкой запроса сертификата от 2003 центра сертификации CertSrv. Лечитцо хотфиксом на 2003 ЦС support.microsoft.com