Windows server 2012 – certifikační autorita

Windows server 2012 – certifikační autorita



Kole certifikátů a elektronického podpisu je vytvořeno jakési tajemné fluidum. Z čistě technického hlediska se nejedná o nic převratného. Můžeme si je vytvářet sami pro vlastní potřebu. Nic nám v tom nebrání.
Certifikační autoritu si jednoduše vytvoříme instalací služby na server. Takto nainstalovanou certifikační autoritu a vydané klíče můžeme využít pro svou správu dat např. v rámci GDPR pro:
Digitální podpis (Digital Signature) - pro autentizaci uživatelů nebo ověření integrity dat.
Neodvolatelnost (Non Repudiation) - pro ověření pravosti – nepopiratelné odpovědnosti



Role AC
 
Autorita CA 
 
Standalone CA - nemusí být v domén,konfigurace může být ručně publikována v AD, šablony certifikátů se nepoužívají, certifikáty jsou vydávány automaticky nebo po schválení - ale vždy na úrovni CA, vydávání certifikátů je možné provádět pomocí webového rozhraní nebo ručně

Enterprise CA - vždy v rámci AD,konfigurace CA je vždy publikována v AD, používají se šablony certifikátů, pro každou šablonu je možné nastavit způsob vydávání, vydávání certifikátů je možné provádět pomocí webového rozhraní, MMC, autoenrollment



CA typ

Nový privátní klíč
Kódování

Expirace

Instalace OK

Webové rozhraní

Máme k dispozici popisné informace, které identifikují vlastníka klíče a důvěřujeme spojení těchto informací.

Aspekt důvěry je tvořen certifikáty (veřejných nebo soukromých) klíčů, ve kterých je spojen klíč s patřičnými informacemi. Svázání je provedeno digitálním podpisem a tato operace s privátním klíčem potvrzuje důvěryhodnost této vazby.

Přitom se jedná o důvěru jako takovou. Lze říci, že je to konzervativní přístup k víře, že jsou splněny a dodržovány všechny určené požadavky a specifikace.

Z této víry profitují veřejné certifikační autority.

Certifikační autorita (CA) nám zajišťuje infrastrukturu – nezajišťuje jen vlastní certifikaci klíčů, ale také udržování údajů s tím spojených. Je to především souhrn organizačních opatření spojených s vydáváním, správou, používáním a odvoláváním platností kryptografických klíčů a certifikátů.

Musíme si tedy vytvořit vlastní, v dávných dobách označovaná jako podniková, normu a v ní specifikovat tyto požadavky.

Buďte obezřetní – akceptováním jednoho klíče nespolehlivé CA může způsobit hodně škody.

Komentáře

Okomentovat

Populární příspěvky z tohoto blogu

Diskové pole NSS4000

Obrázek
Diskové pole NSS4000 Dostalo se mi ruky diskové pole NSS4000 od firmy Linksys. Po pokusu o provedeni upgradu firmwaru, který měl vyřešit problém s připojením k AD ve Windows serveru 2008, blikaly pouze led diody. Protože jsem sám měl před několika lety problém s diskovým polem NSS6000 této firmy, chtěl jsem se na to podívat podrobněji. Toto není návod, uvádím tady takové stručné poznámky. HW – deska má označení BTI ML-1 a moc toho o ní na webu nenajdete.Procesor PMC-Sierra RM7035C, PM8172 system controller, NEC UPD720101 USB 2.0 controller, SafeXcel 1741 security co-processor, IT8907E USB flash controller. Více na www.glaver.org . HW nss4000 Důležité jsou konektory J29 pro připojení RS-TTL a J34 pro jumper, který umožní nabootování jako root. Metoda, kterou uvádějí tvůrci pro obnovu firmwaru diskového pole v dokumentu USB Stick Recovery Instructions.pdf se mi zdála divná. Ten, kdo prováděl upgrade firmware na tomto diskovém poli, se prý o to také pokoušel. Zasouváním...
Další informace

Reset switche SPS224G4

Obrázek
Reset switche SPS224G4 Byl jsem požádán pokusit se vyresetovat switch do default nastavení. Ovšem chybělo heslo. SPS224G4 Protože přes CLI konzolu jsem dělal pouze konfigurace a nikdy jsem neresetoval heslo a navíc switch to nemusel přežít, bylo to pro mě zajímavé. Po připojení switche k napájení se místo probliknutí led diod jen tak pozvolně a neochotně rozsvěcely a zhasínaly. Watmetr ukázal odběr asi 24W. Rozdělal jsem ho a na desce jsem našel vytečené elektrolytické kondenzátory TEAPO. Elektrolytické kondenzátory Zvláštní je, že paralelně ke kondenzátorům Nippon KY byly připojeny právě tyto kondenzátory TEAPO. Na desce jsem neviděl, nebo jsem si opravdu nevšiml, že by je někdo vyměňoval. Díval jsem se do katalogových listů těchto kondenzátorů a nechápu tuto kombinaci. Pojistka na životnost zařízení? Vyměnil jsem je. Ještě jsem se podíval, jak je připojena seriová konzola. Je to RS232 a připojeno pouze Tx, Rx a zem. Konzola Podle informací z webů má mít při...
Další informace