Регистрация Войти
Рейтинг:0
5y5tem5 avatar Server

Доверие PKI к Active Directory

флаг gb
5y5tem5

Предположим, что сертификат ЦС ADCS, присоединенных к данному домену, подписан автономным корневым ЦС, которому затем доверяют все системы в домене/лесу. Если этот автономный корень затем использовался для выдачи/подписания сертификата ЦС (без ограничений), а затем этот ЦС выдал сертификаты пользователя/компьютера/смарт-карты для ресурсов рассматриваемого домена, были бы они доверенными (т.е. был бы сертификат, выпущенный таким образом работать для аутентификации в домене) ?

67
1 + 1
флаг cn
Greg Askew
Для реальной смарт-карты PKI нет. Выдающие сертификаты ЦС регистрируются в хранилище AD Enterprise NTAuth. Но если вы уже зашли так далеко, этот шаг довольно прост.
0
Ответить
Рейтинг:1
Massimo avatar Server
флаг ng
Massimo

Если все компьютеры в домене доверяют корневому ЦС, то по определению они будут доверять каждому сертификату, подписанному им, в том числе сертификату нового дочернего ЦС.

Однако, если новый подчиненный ЦС не интегрирован с AD, у некоторых компьютеров или приложений могут возникнуть проблемы с проверкой всей цепочки ЦС вплоть до корня; чтобы исправить это, вы можете развернуть сертификат суб-ЦС как Доверенный промежуточный центр сертификации с помощью объекта групповой политики.

0 + 2
5y5tem5 avatar
флаг gb
5y5tem5
спасибо, если предположить, что этот сертификат CA, не интегрированный в AD, предоставляется при аутентификации (цепочка сертификатов) или доступен для системы, которая обрабатывает аутентификацию (скажем, через AIA), тогда в этом случае его можно использовать для входа в систему, верно?
0
Ответить
Massimo avatar
флаг ng
Massimo
Это действительно зависит от того, где и как вы хотите войти в систему. «Подписаться доверенным ЦС» и «иметь авторизацию для входа в систему» ​​— это две взаимосвязанные, но разные вещи. Сертификат определенно будет *доверенным*; будет ли он *принят*, зависит от того, кто или что выполняет аутентификацию.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.