タグ付けされた質問 「ad-certificate-services」

3
Windows AD証明書サービスを使用したルート証明書の配布
Windows Serverは認証局サービスを提供します。ただし、ドキュメントから、ルート証明書がクライアントに配布される方法(または配布されるかどうか)は明確ではありません。 ドメインメンバーコンピューターはルート証明書を自動的に信頼しますか? もしそうなら、彼らはいつ、どのように証明書を取得しますか? ルート証明書をインストールまたは信頼するために必要なユーザー操作はありますか? クライアントはActive Directoryをポーリングしますか?AD DNSにありますか? ログイン時にのみ取得できますか? ドメインメンバーがリモートでLANにVPN接続した場合はどうなりますか? 異なるバージョンのWindowsクライアントに関する注意事項はありますか?

1
証明書リクエストがどこから来たのかを知る方法
Server 2012 R2にCAをセットアップしました。サーバーを実行した人が退職し、新しいCAサーバーをセットアップしました。 私は、証明書がどのシステム/ URLのためのものであるかを把握しようとしています。 発行された証明書のリストには、次のものがあります。 リクエストID:71 リクエスター名:DOMAIN \ UserName 証明書テンプレート:基本EFS(EFS) シリアル番号:5f00000047c60993f6dff61ddb000000000047 証明書の発効日:11/05/2015 8:46 証明書の有効期限:2016年11月4日8:46 発行国/地域: 発行された組織: 発行された組織単位:組織ユーザー従業員 発行された共通名:従業員名<-従業員の実際の名前 発行都市: 発行状態: 発行されたメールアドレス: 従業員に証明書を要求した理由を尋ねると、その理由やシステムが何であるかを覚えていません。 私はすべての要求された証明書とそれらが関連付けられているマシンを確認する方法を探しています: 私が試したこと/ Googled: Net443に似たコマンドで、443上のサーバーへのリッスン接続または確立された接続を伝えることができますが、論理と考え方に基づいて少し離れているかもしれません。 「Certificate Effective Date:11/05/2015 8:46」のタイムスタンプを見てイベントビューアーを調べましたが、何かを示すログは見つかりません。 certutilコマンドを使用してデータベースを調べようとしましたが、データベースを表示する前にサービスを停止する必要があります。スキーマを調べると、探している情報の多くがそこにある可能性があります。 サービスを停止しても、SSL証明書は問題ありませんか、またはエンドユーザーにそのSSL警告が表示されますか? データベースのバックアップを取る場合、ファイルを異なるPCに移動し、読み取ることができます。 CAで証明書を使用しているサーバー/ URLを見つけることができるかどうかは誰にもわかりますか? 情報を見つけることができる別のより良い方法はありますか?

1
ドメインコントローラー(DC)は何のために証明書を使用しますか?
誰もがドメインコントローラーについて、また証明書をインストールする必要があると話しますが、結局のところオプションです。インストール後、実際にその証明書を使用するのは何ですか?私の理解では、少なくとも以下のために必要だということです。 スマートカード認証 LDAPS ただし、ドメインコントローラーが証明書を使用するDCまたはActive Directoryによる特定のネイティブアクションがあるかどうかを知りたいですか? 私はここでセキュリティへの影響/良い習慣を知っています:)プレイ中のメカニズムに興味があります。

1
certutil -pingが30秒のタイムアウトで失敗する-どうすればよいですか?
Win7ボックスの証明書ストアが常にハングしています。観察する: C:\> 1.cmd C:\> certutil-?| findstr / i ping -ping-Active Directory証明書サービス要求インターフェースにpingを実行します -pingadmin-Active Directory証明書サービスの管理インターフェイスをpingします C:\> set PROMPT = $ P($ t)$ G C:\(13:04:28.57)> certutil -ping CertUtil:-pingコマンドが失敗しました:0x80070002(WIN32:2) CertUtil:指定されたファイルが見つかりません。 C:\(13:04:58.68)> certutil -pingadmin CertUtil:-pingadminコマンドが失敗しました:0x80070002(WIN32:2) CertUtil:指定されたファイルが見つかりません。 C:\(13:05:28.79)> PROMPT = $ P $ Gを設定 C:\> 説明: 最初のコマンドショーあなたがあること–pingと–pingadminします。certutilへのパラメータ pingパラメータの試行が30秒のタイムアウトで失敗する(現在の時刻はプロンプトに表示されます) これは深刻な問題です。それは私のアプリのすべての安全な通信をねじ込みます。これを修正する方法を誰かが知っている場合は、共有してください。 ありがとう。 PS 1.cmdは、これらのコマンドのバッチです。 certutil -? | findstr …

1
ルートCAが期限切れになると、コード署名証明書はどうなりますか?
これまでのところ明確です:コード署名証明書自体の有効期限が切れると、タイムスタンプで署名された場合に備えて、署名されたコードが検証/受け入れられます。そうでない場合、署名されたコードも期限切れになります。 しかし、私のCA自体が期限切れになるとどうなりますか(ルートCA、つまり発行CA)。 タイムスタンプが付けられていても、コードは受け入れられますか? 期限切れのルート証明書と発行CA証明書がまだ存在している必要がありますか(信頼されたルートCA証明書ストアなど)?これは私の仮定ですが、CAが降格されても、署名されたものを実行するクライアントはCAを信頼する必要がありますか?そうでなければ、信頼チェーンは壊れますよね? CRLまたはAIAの欠如は問題を引き起こしますか?

1
証明書を使用して必要な状態の構成で資格情報を保護する
私はDSCを使い始めたばかりで、それがどのように機能するかを理解しようとしています。 私が行き詰まっているのは、資格情報が実際に保護される方法です。私の現在の理解は、それはそれほど素晴らしいものではないということです。 大きな3つの問題はこれらです。公開鍵を復号化ソースとして使用すると、これらの資格情報を実際にどのように保護できますか?プッシュシナリオとプルシナリオで証明書が必要なのはどのコンピューターですか?これらの問題に照らして資格情報を処理するためのベストプラクティスは何ですか? 証明書の公開鍵を使用すると、送信元の認証に役立ちます。ただし、これを復号化キーとして使用すると、証明書の公開キーへのアクセスによってパスワードへのアクセスが決定されます。 MOFファイルを復号化する必要があるすべてのコンピューターに証明書をプッシュする必要がある場合、平均的なユーザーが証明書にアクセスしてMOFを復号化できないようにする方法はありますか?Active Directoryのセキュリティとは、プレーンテキストのままにして、ADのセキュリティに依存することもできることを意味します。 誰かがこれを回避するのを手伝ってくれる?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.