Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Co udělat po instalaci autority
březen 21
Co udělat po instalaci autority
by  Ondřej Ševeček  on 21.3.2011 21:52
Category: PKIBezpečnost

Po instalaci Windows certifikační autority​ (Active Directory Certificate Services) je vhodné provést některé další akce z příkazové řádky. Všechno je vnásledující tabulce:

​Příkaz Vysvětlení​
CERTUTIL -setreg Policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2​ Pokud chcete vydávat certifikáty obsahující SAN (Subject Alternative Name) pomocí offline požadavku (tedy bez přímého přístupu na autoritu přes DCOM), tak si musíte povolit tuto možnost.​
CERTUTIL -setreg CA\CRLFlags +CRLF_PUBLISH_EXPIRED_CERT_CRLS​ Certifikační autorita odstraňuje automaticky vypršelé certifikáty z CRL. Co když si je tam chcete nechat - což je z bezpečnostního pohledu správně, ale žere to místo v CRL. Tak si musíte zapnout tuto volbu.​
CERTUTIL -setreg CA\ValidityPeriodUnits 5​ Certifikační autorita není ochotna vydávat certifikáty s delší platností, než je tato hodnota. A to bez ohledu na nastavení v šabloně certifikátů (Certificate Template). To není až tak potřeba pro normální certifikáty, jako spíše pro certifikáty podřízených autorit (subordinate CA). Obvykle byste je chtěli mít na delší dobu, než 2 roky, což je výchozí hodnota.
CERTUTIL -setreg CA\SubjectTemplate +StreetAddress​ Autorita odmítá do políčka Subject vydávaných certifikátů dávat adresu, i když si o to požádáte a takový požadavek schválíte. Někdy se to hodí, tak proč to nezapnout. Ale pozor samozřejmě, potom tu adresu musíte garantovat!​
 

 

Permanent Link to Post | Email Post Link | Number of Comments 0 Comment(s)

Comments

There are no comments for this post.

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments